Microsoft выпустила 60 исправлений, включая 6 активно эксплуатируемых уязвимостей. Эксперты отмечают, что они легко устранимы, но три из них связаны с обходом защиты. Особое внимание уделено уязвимостям в Windows, Azure и SAP. — csoonline.com
Microsoft выделила шесть новых и активно эксплуатируемых уязвимостей среди 60 исправлений, выпущенных в рамках февральского «Вторника исправлений».
Тем не менее, Тайлер Регули, заместитель директора отдела исследований и разработок в области безопасности Fortra, отмечает хорошие новости: проблемы легко устраняются с помощью регулярных обновлений Microsoft для Windows и Office, и ни одно из них не требует дополнительных действий по настройке после установки.
Тем не менее, руководителям служб безопасности (CSO) следует помнить, что три из шести уязвимостей связаны с обходом функций безопасности:
- CVE-2026-21510 — сбой механизма защиты в Windows Shell, позволяющий неавторизованному злоумышленнику обойти функцию безопасности через сеть. Для успешной эксплуатации этой уязвимости злоумышленник должен убедить пользователя открыть вредоносную ссылку или ярлык. Затем злоумышленник может обойти системные запросы безопасности Windows SmartScreen и Windows Shell, используя некорректную обработку компонентов Windows Shell, что позволяет запускать контролируемый злоумышленником контент без предупреждения или согласия пользователя.
Джек Бикер, директор отдела исследований уязвимостей Action1, называет это наиболее срочным риском для сетей на базе Windows. «Подтвержденная активная эксплуатация демонстрирует, что злоумышленники используют эту слабость для массовой доставки вредоносного ПО и полезных нагрузок», — заявил он изданию CSO. «Поскольку Windows Shell используется повсеместно на предприятиях, эта уязвимость значительно подрывает доверие пользователей и существенно повышает эффективность фишинговых кампаний». - CVE-2026-21513 — обход безопасности в MSHTML Framework. Сбой механизма защиты в этом фреймворке позволяет неавторизованному злоумышленнику обойти функцию безопасности через сеть. Злоумышленник может использовать эту уязвимость, убедив пользователя открыть вредоносный HTML-файл или ярлык (.lnk), доставленный по ссылке, через вложение электронной почты или загрузку. Специально созданный файл манипулирует обработкой браузера и Windows Shell, вызывая выполнение своего содержимого операционной системой. Это позволяет злоумышленнику обойти функции безопасности и потенциально выполнить произвольный код;
- CVE-2026-21514 — уязвимость, позволяющая обойти средства защиты OLE в Microsoft 365 и Microsoft Office, которые защищают пользователей от уязвимых COM/OLE-элементов управления. Для ее эксплуатации злоумышленнику необходимо отправить пользователю вредоносный файл Office и убедить его открыть. Область предварительного просмотра не является вектором атаки.
Не менее тревожно то, что две из активно эксплуатируемых уязвимостей позволяют повысить привилегии до уровня системы.
- CVE-2026-21519 — уязвимость в Desktop Windows Manager, которая может позволить злоумышленнику повысить свои привилегии;
- CVE-2026-21533 — уязвимость в управлении привилегиями служб удаленного рабочего стола Windows, позволяющая авторизованному злоумышленнику локально повысить свои привилегии.
Сатнам Наранг, старший инженер-исследователь Tenable, заявил, что CVE-2026-21510, CVE-2026-21513 и CVE-2026-21514 должны быть в приоритете у руководителей служб безопасности. «Механизмы защиты, которые обходят эти уязвимости, часто являются первой линией обороны, предотвращающей открытие пользователями вредоносных вложений», — пояснил он. «Они действуют как привратники, подобно Хеймдаллу, охраняющему Асгард».
Наконец, шестая активно эксплуатируемая уязвимость, CVE-2026-21525, находится в диспетчере подключений удаленного доступа Windows. Она может позволить неавторизованному злоумышленнику локально отказать в обслуживании. Крис Геттл, вице-президент по управлению продуктами Ivanti, отмечает, что эта уязвимость затрагивает все поддерживаемые версии Windows, а также версии с расширенной поддержкой безопасности (ESU). Он добавил, что методология приоритизации на основе рисков требует рассматривать эту уязвимость как более серьезную, чем указано в рейтинге поставщика или оценке CVSS.
Что касается других уязвимостей, выявленных в рамках «Вторника исправлений», Бикер из Action1 выделил две, связанные с облачными средами Azure. Он заявил, что руководителям служб безопасности следует позаботиться о том, чтобы облачные команды срочно устранили:
- CVE-2026-21522 — уязвимость внедрения команд в Azure Compute Gallery. Microsoft называет ее «Уязвимость повышения привилегий в конфиденциальных контейнерах ACI», которая создает риск внедрения команд в рабочих нагрузках конфиденциальных контейнеров. Хотя эксплуатация еще не наблюдалась в реальных условиях, Бикер отметил, что код proof-of-concept подтверждает возможность реальной эксплуатации и ставит под сомнение предположения о доверии к конфиденциальным вычислениям;
- CVE-2026-21655 — уязвимость хранения в открытом виде. Microsoft называет ее «Уязвимость раскрытия информации в конфиденциальных контейнерах ACI». Бикер заявил, что, если эта уязвимость не будет устранена, она может создать потенциальные пути для более широкого компрометирования облака, даже без активной эксплуатации.
Кев Брин, старший директор отдела исследований киберугроз Immersive, отметил, что сегодняшние релизы также включают несколько исправлений для уязвимостей удаленного выполнения кода, затрагивающих GitHub Copilot и различные IDE, включая VS Code, Visual Studio и продукты JetBrains.
ИИ-помощник Microsoft Copilot интегрирован в эти среды разработки, пояснил Брин, и уязвимости возникают из-за ошибки внедрения команд в нем, которую можно вызвать через внедрение запросов (prompt injection). На практике злоумышленник может встроить вредоносный запрос в кодовую базу, что приведет к удаленному выполнению кода, если разработчик или конвейер CI/CD использует рабочий процесс агента, который выполняет команды, содержащиеся в запросе. Это может обойти обычные ограничения и привести к выполнению непреднамеренных команд серверными компонентами или интегрированными инструментами.
Разработчики являются ценными целями для злоумышленников, пояснил он, поскольку они часто имеют доступ к конфиденциальным данным, таким как ключи API и секреты, которые функционируют как ключи к критически важной инфраструктуре; к ним относятся привилегированные ключи API AWS или Azure. Когда организации позволяют разработчикам и конвейерам автоматизации использовать большие языковые модели (LLM) и агентивный ИИ, вредоносный запрос может иметь значительные последствия.
«Это не означает, что организации должны прекратить использование ИИ», — сказал Брин. «Это означает, что разработчики должны понимать риски, команды должны четко определять, какие системы и рабочие процессы имеют доступ к ИИ-агентам, и принципы наименьших привилегий должны применяться для ограничения радиуса поражения в случае компрометации секретов разработчиков».
Эндрю Гротто, научный сотрудник Центра по международной безопасности и сотрудничеству Стэнфордского университета и бывший директор по киберполитике Белого дома, обеспокоен историей уязвимостей Microsoft. Он отметил, что этот «Вторник исправлений» последовал за масштабным сбоем Microsoft 365 в прошлом месяце, который нарушил работу организаций по всей Северной Америке и оставил их без доступа к основным корпоративным услугам.
«Этот инцидент, наряду с раскрытыми сегодня уязвимостями, подчеркивает системные риски для экономики и национальной безопасности США, связанные с сильной зависимостью от небольшого числа поставщиков технологий для предоставления критически важных услуг», — заявил он в электронном письме.
«Идеальный код — недостижимая цель, но ощутимое улучшение должно быть для поставщика, который заявляет «безопасность превыше всего» — и я не вижу явных свидетельств улучшения, анализируя многолетние отчеты. Мы все должны задаться вопросом, почему».
Критические уязвимости SAP
Также сегодня SAP выпустила 27 новых и обновленных бюллетеней безопасности, включая два, устраняющих уязвимости критической степени серьезности. Джонатан Стросс, аналитик безопасности SAP в Pathway, обратил внимание на уязвимость внедрения кода в SAP CRM / SAP S/4HANA (Scripting Editor), обозначенную 3697099 (CVE-2026-0488), с оценкой CVSS 9.9.
Затронутая функция обычно используется во многих крупных, устоявшихся ландшафтах SAP CRM, таких как колл-центры.
Основная ошибка заключается в общем пути вызова функционального модуля, который может быть использован для выполнения неавторизованных критически важных функций, сказал он. Реалистичная цепочка атак может начаться с компрометации обычного пользователя CRM через фишинг, повторное использование пароля или компрометацию конечной точки. Затем злоумышленник получит доступ к функциональности, связанной с редактором скриптов, и использует ошибку общего вызова. Наконец, он выполнит неавторизованные действия на уровне базы данных (SQL), что приведет к широкому контролю. После получения контроля злоумышленник сможет скомпрометировать базу данных, украсть или изменить данные и вызвать операционные сбои, манипулируя данными CRM/S/4 на уровне хранения.
Стросс также указал на уязвимость отсутствия проверки авторизации для путей выполнения удаленных вызовов функций (RFC), обозначенную 3674774 (CVE-2026-0509), с оценкой CVSS 9.6. Она затрагивает RFC (включая фоновые RFC), что является основой для интеграций, фоновой обработки и межсистемной связи, сказал он, с воздействием на NetWeaver AS ABAP / ABAP Platform.
В потенциальном сценарии атаки злоумышленник, получивший доступ к учетной записи пользователя, будет использовать механизмы RFC для выполнения удаленно-доступной функциональности, которая должна блокироваться S_RFC. В ландшафтах с широким доверием к RFC и устаревшими разрешительными ролями это может стать ступенькой к манипулированию системой или операционным сбоям. В случае успеха злоумышленник сможет выполнить неавторизованные операции RFC, манипулировать данными или процессами через функции, поддерживающие RFC, и потенциально вызвать сбои в обслуживании посредством высокоэффективных операций RFC.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon