Microsoft Patch 2026: 6 zero-day и 58 уязвимостей

Ключевые CVE и их статус

Microsoft только что выпустила февральский пакет обновлений, и 6 из 58 закрытых дыр УЖЕ используются хакерами. Если вы думаете, что это «просто ещё один Patch Tuesday», вы сильно ошибаетесь. Я расскажу, на какие уязвимости из этого списка надо нажать прямо сейчас, как они бьют по выполнению 152-ФЗ и что я лично делаю в таких случаях в наших проектах SOC.

Зачем февральский Patch Tuesday — головная боль для каждого CISO в России

Если честно, когда я вижу цифру «58 уязвимостей» в анонсе Microsoft, первая мысль — «и сколько из них уже эксплуатируются?». Потому что теория и практика в SOC — это две разные вселенные. В теории вы читаете бюллетень. На практике вы срочно поднимаете команду и проверяете, не засветились ли ваши хосты в логах угроз ещё до выхода патча.

И февраль 2026 года — отличная иллюстрация.

Из 58 дыр шесть (CVE-2026-21510, CVE-2026-21513, CVE-2026-21514, CVE-2026-21519, CVE-2026-21525, CVE-2026-21533) уже активны в дикой природе. Три были публично раскрыты до исправлений. Это что значит на простом языке?

Атака идёт прямо сейчас. Прямо в этот момент какая-нибудь финансовая или госструктура в РФ может быть под прицелом через эти векторы. И если у вас стоит EDR, который не отслеживает аномалии в работе диспетчера окон рабочего стола (CVE-2026-21519), вы узнаете об инциденте последним. Возможно, от ФСТЭК.

По моему опыту, главная ошибка российских компаний — откладывание обновлений «на потом». Мол, протестируем, посмотрим, чтобы ничего не сломалось. Знакомо? А тем временем злоумышленнику не нужно ломать дверь. Он уже внутри через эту самую публичную уязвимость в MSHTML. И тихо, месяц за месяцем, собирает данные, которые попадают под 152-ФЗ.

Представьте, что в вашей сети тысячи рабочих станций с Office. Каждая — потенциальная точка входа. Вы уверены, что все они получили февральские обновления безопасности? Или где-то в филиале до сих пор работает Windows 10 образца 2021 года с отключённым центром обновления, потому что «медленно работает»?

CVE-2026-21519: та самая дыра, которая даёт злоумышленнику ключи от всего королевства

Давайте остановимся на самой опасной, на мой взгляд, уязвимости этого месяца — CVE-2026-21519 в диспетчере окон рабочего стола. В описании Microsoft сухо указывает: «повышение привилегий». На практике это звучит так: злоумышленник, получивший доступ на вашу машину с правами пользователя (например, через фишинг), может за считанные секунды стать SYSTEM.

А SYSTEM в Windows — это Бог.

Можно отключить антивирус, внедриться в процессы, украсть хэши паролей со всей доменной сети, подписать драйвер… список бесконечен. Честно говоря, когда я вижу такие CVE, у меня холодеют руки. Потому что я знаю, как сложно потом обнаружить такого «квартиранта». Он маскируется под легитимные процессы, его не видно обычными средствами.

У нас был кейс с производственным предприятием. Злоумышленник пробрался через старую уязвимость в Word (очень похожую на CVE-2026-21514), получил права пользователя на станции инженера. А потом, через цепочку, которую мы восстановили уже постфактум, использовал уязвимость, аналогичную 21519, чтобы стать SYSTEM и закрепиться в сети. Обнаружили случайно, по аномальному исходящему трафику с хоста в ночное время. И знаете, сколько времени он там был? 11 месяцев.

Вы проверяли свои ключевые серверы и рабочие станции на предмет аномальных активностей от имени SYSTEM? Или ваш SIEM заточен только на внешние атаки?

Почему уязвимости в MSHTML и оболочке Windows так коварны

CVE-2026-21510 (обход защитных предупреждений в оболочке Windows) и CVE-2026-21513 (обход в MSHTML) — это не про взлом. Это про обман. Представьте, что ваш бдительный охранник (система безопасности) всегда предупреждал: «Стой! Неизвестный файл!». А теперь хакер научился показывать ему фальшивый пропуск, и охранник молча пропускает угрозу.

На практике это выглядит как обычная ссылка в письме от «коллеги» или якобы важный документ. Человек кликает — и ничего не происходит. Нет всплывающих окон, нет предупреждений от защитника Windows. А в фоне уже запускается скрипт, который тянет полезную нагрузку.

Это идеальный сценарий для целевой атаки на сотрудника, у которого есть доступ к конфиденциальной информации. Его не нужно пугать вирусами. Нужно просто заставить открыть вложение, которое выглядит безопасно. И система, из-за этой дыры, его не остановит.

В условиях действия 187-ФЗ о КИИ такие векторы — прямая угроза. Потому что атака начинается не с хакерского сервера, а с доверенного действия сотрудника. И стандартные средства защиты периметра здесь часто бессильны. Нужен глубокий мониторинг процессов на конечных точках (EDR/XDR) и, что критично важно, своевременные патчи, которые латают сами механизмы безопасности ОС.

Кстати, вы обучаете своих пользователей не кликать на ссылки? Уверен, да. Но этого больше недостаточно. Нужно латать сами механизмы, которые призваны быть последним рубежом, когда человек всё же ошибся.

Бомба замедленного действия: как обновление Secure Boot повлияет на вас в 2026

А теперь — про то, о чём почти не пишут в новостях, но что вызовет массу головной боли уже летом. Microsoft начала обновлять сертификаты Secure Boot. Старые, 2011 года, истекают в июне 2026. Казалось бы, рутинная процедура.

Но. Внедрение новых сертификатов — процесс не мгновенный.

В «качественные обновления» уже сейчас заложены данные для проверки готовности устройств. И если у вас парк разнородного оборудования (российские ПК, ноутбуки разных лет, серверы), есть риск, что некоторые машины после обновления просто не загрузятся. Они не пройдут проверку подписи Secure Boot.

Представляете масштаб? Не загружается рабочая станция ключевого сотрудника на удалёнке. Или, что хуже, сервер, который вы не можете перезагрузить «на всякий случай». Я уже сталкивался с подобным в 2021 году, когда истекали предыдущие сертификаты. Это была неделя аврала и ручного добавления исключений в UEFI на сотнях машин.

Что делать? Проверять. Сейчас.

У Microsoft есть инструментарий для оценки готовности. Но по-человечески — соберите инвентаризацию всего парка, сверьте версии UEFI и состояние Secure Boot. Особенно это касается российских сборок и оборудования, которое было внесено в реестр Минпромторга. С ними, по опыту, всегда больше всего нюансов.

Это не угроза в классическом понимании, но инцидент, который точно ударит по операционной деятельности и, как следствие, по безопасности. И ФСТЭК при проверке обязательно спросит, как вы управляете рисками, связанными с обеспечением целостности ПО на этапе загрузки. Это же требование его приказов.

Почему список из 10 стандартных советов по безопасности вас погубит

Видите в интернете статьи с заголовком «10 правил кибербезопасности»? Установите обновления, поставьте антивирус, сделайте бэкапы… Это всё верно. Но это как сказать пилоту: «чтобы летать, держи самолёт в воздухе». Технически правильно, но бесполезно без конкретики.

Проблема в том, что злоумышленники не следуют шаблонам. Они ищут именно ту брешь, которую ВЫ пропустили. Может, это не Microsoft Word, а забытый Sharepoint-сервер старой версии. Или служба удалённого доступа (CVE-2026-21525), которую включили для одного проекта и забыли выключить.

Мой подход, выстраданный на десятках инцидентов, другой. Нужно мыслить как злоумышленник. Смотреть на свою инфраструктуру его глазами. Что ценное у вас есть? Финансовые отчёты? База клиентов? Технологические схемы? Кто имеет к ним доступ? Какие устаревшие системы стоят на пути к этим активам?

Именно так мы и работаем при построении SOC для заказчиков. Не просто ставим SIEM и пишем правила. А сначала проводим Threat Hunting — поиск угроз, исходя из картины активов и реальных тактик противника (по MITRE ATT&CK). И знаете, что находим в 80% случаев? Не нулевые дни, а старые, давно пропатченные уязвимости, которые забыли устранить на какой-нибудь тестовой машине или в заброшенном сегменте сети.

Поэтому, если вы дочитали до этого места, сделайте не список из 10 пунктов, а одно действие. Возьмите описание февральских уязвимостей от Microsoft (CVE-2026-21510, CVE-2026-21513, CVE-2026-21514, CVE-2026-21519, CVE-2026-21525, CVE-2026-21533) и пробейте по ним все свои активы. Все. От файлового сервера до ноутбука курьера. Это и будет первым шагом от теории к реальной безопасности.

Правила 2026 года: не как у всех, а как у тех, кто не хочет попасть в сводки ФСТЭК

1. Обновляйте осознанно, а не ради галочки. Не просто нажмите «установить». Сначала на тестовом стенде, потом на критичных серверах по утверждённому регламенту. Имейте план отката. Для февраля 2026 года — патчи на Word, оболочку Windows и диспетчер окон обязательны к немедленному рассмотрению.
2. Система — это не только Windows. В феврале патчи выпустили Adobe, Cisco, Fortinet, SAP. Ваш VPN-шлюз или система документооборота могут быть слабым звеном. Составьте единый реестр всего ПО и отслеживайте выпуски обновлений для него.
3. Привилегии — не пожизненная аренда. CVE-2026-21519 эксплуатирует избыточные права. Внедрите модель наименьших привилегий (Least Privilege). Никто, даже IT-администраторы в повседневной работе, не должны быть SYSTEM или Domain Admin.
4. EDR — это не роскошь, а средство выживания. Без современных средств обнаружения и реагирования на конечных точках вы слепы к атакам вроде тех, что используют CVE-2026-21513. Это давно не про антивирус, а про анализ поведения.
5. Обучайте не страхом, а пониманием. Сотрудник, который знает, почему нельзя открывать вложения, эффективнее того, кто просто боится штрафа. Расскажите про CVE-2026-21510 и как теперь злоумышленники прячут предупреждения.
6. Аудит — это про «а что, если». Не формальная сверка списков. А постоянный поиск аномалий: новые учётные записи, неожиданные запуски служб, исходящие соединения в нерабочее время. Именно так ловят последствия успешных эксплуатаций.
7. Резервные копии должны быть изолированы. Отдельная сеть, отдельные права, регулярная проверка на восстановление. Самый страшный вирус сейчас — это шифровальщик, который добирается до ваших бэкапов.
8. Учитывайте российскую специфику. Требования ФСТЭК, 152-ФЗ, 187-ФЗ — это не бюрократия. Это проверенный на практике свод правил. Соответствие им часто закрывает именно те векторы атак, которые используют APT-группы.
9. Готовьтесь к инциденту заранее. У вас есть Playbook на случай, если сработает детект попытки повышения привилегий (как в случае с CVE-2026-21519)? Прописаны роли, контакты, первые действия? Если нет, вы уже проигрываете.
10. Не надейтесь на один инструмент. Безопасность — это многослойный пирог. Патчи + EDR + сегментация сети + DLP + обучение. Дыра в одном слое будет перекрыта другим.

══════

Нужна помощь?
Оставьте заявку на Бесплатную консультацию на сайте: https://securedefence.ru/
Пришлём чек-лист по февральским уязвимостям + дорожную карту + КП.
Первые 5 заказов каждый месяц — расширенный аудит ИБ на 12 страниц в подарок!

══════

Ответы на вопросы, которые вы постеснялись задать на совещании (FAQ)

1. У нас стоит импортозамещённое ПО. Патчи Microsoft всё ещё критичны?
   Критичны, если в парке остались хоть одни Windows-машины (а они почти всегда есть). Кроме того, многие российские ОС основаны на ядре Windows или имеют схожую архитектуру. Угрозы для диспетчера окон или механизмов безопасности часто аналогичны.
2. CVE-2026-21525 — отказ в обслуживании. Это же не утечка данных, зачем спешить?
   Отказ в обслуживании (DoS) — это часто первый этап. Пока вы восстанавливаете упавший шлюз удалённого доступа, злоумышленник атакует через другой вектор. Или использует атаку как отвлекающий манёвр. В требованиях КИИ (187-ФЗ) доступность — одна из ключевых целей защиты.
3. Как технически проверить, не эксплуатировалась ли у нас CVE-2026-21519?
   Ищите в журналах EDR/SIEM необычные вызовы API диспетчера окон (win32kfull.sys, win32kbase.sys) с последующим созданием процессов с высокими привилегиями. Особенно с удалённых или ненадёжных расположений. Без EDR сделать это постфактум почти нереально.
4. Мы пропустили обновление на несколько месяцев. Что делать?
   Первое — установить его сейчас. Второе — провести Threat Hunting за период, прошедший с момента выхода патча. Искать признаки компрометации, описанные в рекомендациях Microsoft для этих CVE. Третье — пересмотреть процессы управления обновлениями.
5. Где взять конкретные списки для проверки по февральским CVE?
   У Microsoft в бюллетенях есть разделы «Workarounds» и «Mitigations». Там часто указаны конкретные ключи реестра, правила AppLocker или PowerShell-скрипты для временного закрытия дыр, если с обновлением нужно повременить. Используйте их как временную меру.
6. Обновления ломают 1С. Что важнее — безопасность или работа бизнеса?
   Это ложный выбор. Важно и то, и другое. Решение: выделенная тестовая группа, где проверяется совместимость обновлений и 1С, быстрое взаимодействие с поставщиком 1С для получения совместимых конфигураций. Просто блокировать обновления — путь к катастрофе.
7. Действительно ли угрозы из Patch Tuesday актуальны для России?
   Ещё как. Группировки, атакующие РФ, активно используют те же самые уязвимости нулевого дня и публично раскрытые дыры (как три из февральского списка). Их инфраструктура и методы — глобальны. Отставание в установке патчей даёт им фору.
8. Хватит ли встроенного Защитника Windows для защиты от этих угроз?
   После установки патчей — его возможностей часто достаточно для базовой защиты. Но для обнаружения сложных атак, цепочек эксплуатации (как Word -> Повышение привилегий) и для расследования инцидентов его не хватит. Нужен EDR.
9. Как убедить руководство выделить бюджет на срочное обновление?
   Говорите на языке рисков и денег. Не «вышла уязвимость», а «есть риск остановки производства, утечки базы клиентов (штраф по 152-ФЗ до 500 тыс. руб.), блокировки систем шифровальщиком». Приводите примеры из новостей по аналогичным компаниям.
10. Мы маленькая компания. Нас действительно могут атаковать через эти CVE?
    Атакуют не компанию, а уязвимость. Злоумышленники часто сканируют интернет на наличие хостов с определёнными дырами автоматически. Ваш забытый RDP-сервер с публичным IP может быть скомпрометирован через CVE-2026-21533 за несколько часов, независимо от размера бизнеса.

Это не просто февральский набор исправлений. Это конкретные инструменты в руках тех, кто хочет навредить вашему бизнесу прямо сейчас. Можно делать вид, что это «процедурный вопрос», а можно взять список CVE и провести работу над ошибками. Пока эти ошибки не стали фатальными.

Работаете с персональными данными? Есть системы, попадающие под 187-ФЗ? Тогда каждый пропущенный патч — это прямая угроза выполнению требований регулятора и стабильности вашей работы. Не стоит недооценивать ситуацию.

══════

Больше материалов: Центр знаний SecureDefence.

Оставьте заявку на бесплатную консультацию: [Перейти на сайт]