Хабр, привет!
На связи Александр Леонов, ведущий эксперт PT Expert Security Center и дежурный по самым опасным уязвимостям месяца. Мы с командой аналитиков Positive Technologies регулярно исследуем информацию об уязвимостях из баз и бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, баз эксплойтов, публичных репозиториев кода и выявляем во всем этом многообразии сведений трендовые уязвимости. Это те уязвимости, которые либо уже эксплуатируются вживую, либо будут эксплуатироваться в ближайшее время.
С прошлого дайджеста мы добавили еще 2 трендовые уязвимости:
уязвимость, приводящая к удаленному выполнению кода, в Microsoft 365 и Microsoft Office - PT-2026-4775 (CVE-2026-21509);
уязвимость, приводящая к раскрытию информации, в Desktop Window Manager - PT-2026-2658 (CVE-2026-20805).
Уязвимость, приводящая к удаленному выполнению кода, в Microsoft 365 и Microsoft Office
💥 PT-2026-4775 (CVE-2026-21509, оценка по CVSS — 7,8, высокий уровень опасности)
Уязвимость была экстренно исправлена 26 января вне регулярных Microsoft Patch Tuesday. Microsoft классифицировали её как Security Feature Bypass, но, фактически, это Remote Code Execution. Уязвимость заключается в обходе функций безопасности OLE (Object Linking and Embedding) в Microsoft 365 и Microsoft Office. Она эксплуатируется при открытии зловредных файлов Office (просмотр в Preview Pane безопасен).
⚙️ В Office 2021+ защита включается автоматически за счёт серверных изменений после перезапуска приложений. Для Office 2016/2019 требуется установить обновления или сделать изменения в реестре.
👾 Microsoft сообщают об эксплуатации уязвимости в реальных атаках.
🛠 Публичных эксплоитов пока нет.
Признаки эксплуатации: Microsoft предупредила, что уязвимость уже используется в реальных атаках. Кроме того, CVE-2026-21509 была добавлена в каталог CISA KEV.
Публично доступные эксплойты: нет в открытом доступе.
Способы устранения, компенсирующие меры: установить обновления безопасности, которые представлены на официальном сайте Microsoft. В Office 2021 и более новых версиях обновления применяются автоматически после перезапуска приложений. Пользователям Office 2016 и 2019 требуется установить исправления.
Уязвимость, приводящая к раскрытию информации, в Desktop Window Manager
💥 PT-2026-2658 (CVE-2026-20805, оценка по CVSS — 5,5, средний уровень опасности)
Desktop Window Manager - это композитный оконный менеджер, входящий в состав Windows, начиная с Windows Vista. Эксплуатация уязвимости, исправленной в рамках январского Microsoft Patch Tuesday, позволяет локальному злоумышленнику раскрыть адрес раздела ("section address") порта ALPC, относящийся к памяти пользовательского режима.
👾 Microsoft отметили, что эта уязвимость эксплуатируется в атаках. Уязвимость была добавлена в CISA KEV 13 января. Подробностей по атакам пока нет, но эксперты Rapid7 предполагают, что утечка адреса памяти могла позволить злоумышленникам обойти ASLR, упрощая создание стабильного эксплоита для повышения привилегий через DWM.
🛠 Публичные PoC-и эксплоитов доступны на GitHub с 14 января.
Признаки эксплуатации: Microsoft отмечает, что уязвимость эксплуатируется в реальных атаках. Эксперты из Trend Micro предполагают, что CVE-2026-20805 могла использоваться в цепочке с другими уязвимостями для развития атаки. Кроме того, CISA добавило эту уязвимость в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: опубликован PoC.
Способы устранения, компенсирующие меры: установить обновления безопасности, которые представлены на официальном сайте Microsoft.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие недостатки безопасности являются наиболее опасными и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению наиболее опасных из них и защитить инфраструктуру компании. Но не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице трендовых уязвимостей и портале dbugs, в котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.
На этом всё! До встречи в новом дайджесте трендовых уязвимостей через месяц.
Александр Леонов
Ведущий эксперт PT Expert Security Center
