Хабр, привет!

На связи команда инженер-аналитиков R-Vision. В январе мы выделили 12 трендовых уязвимостей и включили в этот дайджест те, что представляют наибольшую опасность по уровню риска, подтверждённой эксплуатации и практическому интересу для специалистов информационной безопасности.

Полный перечень уязвимостей доступен в Базе уязвимостей RVD (R-Vision Vulnerability Database), которая используется в продукте R-Vision VM.

Итак, в дайджест января вошли 3 уязвимости:

Уязвимости Windows

СVE-2026-21509 BDU:2026-00828: Уязвимость Microsoft Office, позволяющая обойти функцию безопасности

Уровень критичности по оценке CVSS: 7.8

Вектор атаки: локальный

Подтверждение вендора:

Информация об эксплуатации

Описание уязвимости

Данная уязвимость позволяет обойти функцию безопасности OLE (Object Linking and Embedding), которая используется для защиты пользователей от небезопасных элементов управления COM/OLE в Microsoft Office. На практике это означает, что атакующий может создать документ с внедренным вредоносным OLE элементом. Открытие такого файла пользователем может привести к выполнению вредоносного кода на машине.

Эксплуатация уязвимости может осуществляться с помощью приемов социальной инженерии, например фишинга. Нужно отметить, что для успешной эксплуатации жертва должна открыть вредоносный документ. В режиме предпросмотра уязвимость проэксплуатировать нельзя.

Статус эксплуатации уязвимости

По данным вендора, уязвимость эксплуатировалась в реальных атаках. Стоит отметить, что патч для данной уязвимости был выпущен Microsoft 26 января 2026 года, в кратчайшие сроки после публикации уязвимости, вне рамок стандартного графика публикации исправлений. В тот же день уязвимость была добавлена в Каталог известных эксплуатируемых уязвимостей (KEV) со сроком исправления до 16 февраля 2026 года.

Возможные негативные сценарии

В случае успешной эксплуатации атакующий может добиться удалённого выполнения кода и компрометации хоста.

Рекомендации по устранению

В Office 2021 и более новых версиях защита будет активирована автоматически благодаря изменениям на стороне сервиса, однако для применения этих изменений необходимо будет перезапустить приложения Office.

Для Office 2016 и 2019 необходимо установить последние обновления безопасности, либо внести необходимые изменения в реестр в соответствии с рекомендациями вендора.

CVE-2026-20805BDU:2026-00375: Уязвимость раскрытия информации Desktop Window Manager

Уровень критичности по оценке CVSS: 5.5

Вектор атаки: локальный

Подтверждение вендора:

Информация об эксплуатации

Описание уязвимости

В Windows обнаружена уязвимость в компоненте Desktop Windows Manager (DWM), который отвечает за отображение всех окон, визуальные эффекты и взаимодействие графической подсистемы с другими процессами через ALPC-порты. Эксплуатация уязвимости предоставляет возможность локальному авторизованному пользователю получить доступ к адресам памяти процесса DWM.

Если на порт DWM отправляется специально созданное сообщение ALPC, служба непреднамеренно возвращает адрес раздела пользовательского режима, что указывает на адресное пространство DWM. Это позволяет обойти защиту ASLR (рандомизация адресного пространства), которая используется во всех современных операционных системах. Она необходима для защиты от эксплуатации уязвимостей, где нужно знать точное смещение адресов памяти.

Таким образом, эксплуатация этой CVE может быть использована как часть цепочки атаки для повышения привилегий через уязвимости, связанные с работой памяти (Use-After-Free, Heap Overflow и т.д.).

Статус эксплуатации уязвимости

Microsoft сообщает, что данная уязвимость эксплуатировалась в реальных атаках. Также в день публикации она была добавлена в CISA KEV со сроком устранения до 3 февраля 2026 года. Есть PoC в публичном доступе.

Возможные негативные сценарии

Утечка данных облегчает злоумышленникам обход средств защиты, предоставляя возможность дальнейшей эксплуатации уязвимостей типа EoP.

Рекомендации по устранению

Вендор 13 января 2026 года выпустил обновление безопасности, рекомендуется как можно скорее установить его на все затронутые продукты.

Уязвимость GNU Inetutils

CVE-2026-24061BDU:2026-00709: Уязвимость обхода аутентификации в telnetd

Уровень критичности по оценке CVSS: 9.8

Вектор атаки: сетевой

Подтверждение вендора:

Информация об эксплуатации

Описание уязвимости

20 января 2026 года была обнаружена уязвимость обхода аутентификации в сервисе telnetd из распространённого, но устаревшего пакета сетевых инструментов Inetutils.

Суть уязвимости заключается в том, что сервер telnetd запускает команду /usr/bin/login (которая обычно работает от имени пользователя root) и передаёт ей значение переменной окружения USER, полученное от клиента, в качестве последнего аргумента.

Если  отправить специально сформированное значение переменной USER, например строку «-f root», и использовать параметр telnet(1) -a или --login для передачи этой переменной на сервер, то клиент автоматически войдёт в систему с правами root, минуя стандартные процедуры аутентификации, такие как ввод логина и пароля.

В качестве примера для эксплуатации может быть использована команда: USER='-f root' telnet -a localhost

Как сообщают исследователи, уязвимость существует уже более 10 лет, с 12 мая 2015 года, когда был выпущен релиз Inetutils v.1.9.3. Уязвимыми являются версии вплоть до 2.7 включительно. Для эксплуатации нужно, чтобы telnetd был запущен как сервис на хосте и была возможность подключиться через протокол telnet.

Несмотря на то, что telnet является устаревшим и небезопасным протоколом для удалённого управления, он продолжает встречаться как запущенная служба на серверах и сетевом оборудовании. По данным Fofa, в российском сегменте интернета находится 449,3 тыс. потенциально уязвимых хостов, где работает служба telnetd.

Также ShadowServer предоставляет свою статистику по распространению хостов с открытым telnet в мире.

Статус эксплуатации уязвимости

Уязвимость активно используется  в реальных атаках. Исследователи из Greynoise 22 января 2026 года зафиксировали множество попыток эксплуатации с различных IP-адресов. На момент составления дайджеста атаки продолжаются.

Также уязвимость была добавлена в Каталог известных эксплуатируемых уязвимостей (KEV) со сроком исправления до 16 февраля 2026 года. Есть эксплойты в публичном доступе.

Возможные негативные сценарии

Полная компрометация хоста. Злоумышленники после компрометации могут на сервере разместить C2 инфраструктуру для горизонтального перемещения или для подключения к ботнету.

Рекомендации по устранению

  1. Установить последние обновления Inetutils в соответствии с использованным дистрибутивом.

  2. Отключить сервис telnetd на хосте, поскольку Telnet не поддерживает шифрование и подвержен различным типам атак.

Как защититься?

В приоритете находится не только своевременное выявление уязвимостей, но и регулярный контроль состояния используемого ПО, сервисов и компонентов ИТ-инфраструктуры, а также их своевременное обновление.

Практика и результаты наших исследований показывают, что для организаций важно не просто фиксировать уязвимости, а иметь актуальное представление о состоянии инфраструктуры. Это позволяет корректно расставлять приоритеты и контролировать процесс их устранения. Для этого используются решения класса Vulnerability Management (например, R-Vision VM), обеспечивающие непрерывную работу с уязвимостями - от обнаружения до контроля устранения.

Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.

Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.