ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Во вторник компания Microsoft выпустила обновления безопасности для устранения 59 уязвимостей в своем программном обеспечении, в том числе шести уязвимостей, которые, по ее словам, уже были использованы злоумышленниками.

Из 59 уязвимостей пять классифицированы как критические, 52 — как важные и две — как умеренные. Двадцать пять исправленных уязвимостей были классифицированы как повышение привилегий, за ними следуют удаленное выполнение кода (12), подделка (7), раскрытие информации (6), обход функций безопасности (5), отказ в обслуживании (3) и межсайтовый скриптинг (1).

Стоит отметить, что эти исправления дополняют три уязвимости, которые Microsoft устранила в браузере Edge после выпуска обновления Patch Tuesday в январе 2026 года, включая уязвимость средней степени тяжести, затрагивающую браузер Edge для Android (CVE-2026-0391, оценка CVSS: 6,5), которая может позволить неавторизованному злоумышленнику выполнить подделку в сети, воспользовавшись «неверным отображением критической информации в пользовательском интерфейсе».

В верхней части списка обновлений этого месяца находятся шесть уязвимостей, которые были отмечены как активно используемые:

CVE-2026-21510 (оценка CVSS: 8,8) — сбой механизма защиты в Windows Shell, позволяющий неавторизованному злоумышленнику обойти функцию безопасности через сеть.

CVE-2026-21513 (оценка CVSS: 8,8) — сбой механизма защиты в MSHTML Framework, который позволяет неавторизованному злоумышленнику обойти функцию безопасности через сеть.

CVE-2026-21514 (оценка CVSS: 7,8) — использование недоверенных входных данных при принятии решений по безопасности в Microsoft Office Word, что позволяет неавторизованному злоумышленнику обойти функцию безопасности локально.

CVE-2026-21519 (оценка CVSS: 7,8) — доступ к ресурсу с использованием несовместимого типа («путаница типов») в Desktop Window Manager, что позволяет авторизованному злоумышленнику повысить привилегии локально.

CVE-2026-21525 (оценка CVSS: 6,2) — разыменование нулевого указателя в диспетчере подключений удаленного доступа Windows, что позволяет неавторизованному злоумышленнику локально отказать в обслуживании.

CVE-2026-21533 (оценка CVSS: 7,8) — Неправильное управление привилегиями в Windows Remote Desktop, позволяющее авторизованному злоумышленнику повысить привилегии локально.

Команды безопасности Microsoft и Google Threat Intelligence Group (GTIG) обнаружили и сообщили о первых трех уязвимостях, которые на момент выпуска были указаны как общеизвестные. В настоящее время нет подробной информации о том, как эти уязвимости используются и были ли они вооружены в рамках одной и той же кампании.

«CVE-2026-21513 — это уязвимость, позволяющая обойти функцию безопасности в Microsoft MSHTML Framework, основном компоненте, используемом Windows и многими приложениями для отображения HTML-контента», — сказал Джек Бисер, директор по исследованию уязвимостей в Action1. «Она вызвана сбоем механизма защиты, который позволяет злоумышленникам обходить запросы на выполнение, когда пользователи взаимодействуют с вредоносными файлами. Специально созданный файл может незаметно обойти запросы безопасности Windows и запустить опасные действия одним щелчком мыши».

Сатнам Наранг, старший инженер-исследователь в Tenable, сказал, что CVE-2026-21513 и CVE-2026-21514 имеют «много сходств» с CVE-2026-21510, при этом основное отличие заключается в том, что CVE-2026-21513 также может быть использована с помощью HTML-файла, а CVE-2026-21514 — только с помощью файла Microsoft Office.

Что касается CVE-2026-21525, то он связан с уязвимостью нулевого дня, которую, по словам службы 0patch компании ACROS Security, она обнаружила в декабре 2025 года при расследовании другой связанной уязвимости в том же компоненте (CVE-2025-59230).

«Эти [CVE-2026-21519 и CVE-2026-21533] уязвимости являются локальными уязвимостями повышения привилегий, что означает, что злоумышленник уже должен был получить доступ к уязвимому хосту», — сообщил The Hacker News по электронной почте Кев Брин, старший директор по исследованиям киберугроз в Immersive. «Это может произойти через вредоносное вложение, уязвимость удаленного выполнения кода или латеральное перемещение из другой скомпрометированной системы».

«Попав на хост, злоумышленник может использовать эти уязвимости для повышения привилегий до уровня SYSTEM. Имея такой уровень доступа, злоумышленник может отключить инструменты безопасности, развернуть дополнительное вредоносное ПО или, в худшем случае, получить доступ к секретам или учетным данным, что может привести к полному компрометации домена».

Поставщик решений для кибербезопасности CrowdStrike, который был отмечен за сообщение о CVE-2026-21533, заявил, что не связывает эту уязвимость с конкретным злоумышленником, но отметил, что злоумышленники, обладающие бинарными файлами эксплойта, вероятно, в ближайшем будущем активизируют свои усилия по их использованию или продаже.

«Бинарный файл эксплойта CVE-2026-21533 изменяет ключ конфигурации службы, заменяя его ключом, контролируемым злоумышленником, что может позволить злоумышленникам повысить привилегии для добавления нового пользователя в группу администраторов», — сообщил Адам Мейерс, руководитель отдела по противодействию злоумышленникам в CrowdStrike, в заявлении, отправленном по электронной почте The Hacker News.

Это событие побудило Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) добавить все шесть уязвимостей в свой каталог известных уязвимостей (KEV), требуя от агентств Федеральной гражданской исполнительной ветви власти (FCEB) применить исправления до 3 марта 2026 года.

Обновление также совпадает с выпуском Microsoft обновленных сертификатов Secure Boot, которые заменят оригинальные сертификаты 2011 года, срок действия которых истекает в конце июня 2026 года. Новые сертификаты будут установлены в ходе регулярного ежемесячного обновления Windows без каких-либо дополнительных действий.

«Если устройство не получит новые сертификаты Secure Boot до истечения срока действия сертификатов 2011 года, ПК будет продолжать функционировать в обычном режиме, а существующее программное обеспечение будет продолжать работать», — заявил технологический гигант. «Однако устройство перейдет в ухудшенное состояние безопасности, которое ограничит его способность получать будущие средства защиты на уровне загрузки».

«По мере обнаружения новых уязвимостей на уровне загрузки затронутые системы становятся все более уязвимыми, поскольку они больше не могут устанавливать новые меры защиты. Со временем это также может привести к проблемам совместимости, поскольку более новые операционные системы, прошивка, оборудование или программное обеспечение, зависящее от Secure Boot, могут не загружаться».

В то же время компания заявила, что также усиливает защиту по умолчанию в Windows с помощью двух инициатив в области безопасности: Windows Baseline Security Mode и User Transparency and Consent. Обновления входят в сферу компетенции Secure Future Initiative и Windows Resiliency Initiative.

«С Windows Baseline Security Mode Windows будет переходить к работе с включенными по умолчанию средствами защиты целостности во время выполнения», — отмечается в сообщении. «Эти средства защиты гарантируют, что запускаться будут только правильно подписанные приложения, службы и драйверы, что помогает защитить систему от взлома или несанкционированных изменений».

User Transparency and Consent, аналогичная структуре Apple macOS Transparency, Consent, and Control (TCC), направлена на внедрение единого подхода к принятию решений по безопасности. Операционная система будет предупреждать пользователей, когда приложения пытаются получить доступ к конфиденциальным ресурсам, таким как файлы, камера или микрофон, или когда они пытаются установить другое непреднамеренное программное обеспечение.

«Эти запросы разработаны так, чтобы быть понятными и выполнимыми, и у вас всегда будет возможность позже пересмотреть и изменить свой выбор», — сказал Логан Айер, выдающийся инженер Microsoft. «Приложения и агенты искусственного интеллекта также должны будут соответствовать более высоким стандартам прозрачности, что даст как пользователям, так и ИТ-администраторам лучший обзор их поведения».