На первый взгляд история звучит почти как технический курьёз, но в ней есть серьёзная деталь. Исследователи описали уязвимость в Windows Accessibility Infrastructure, из-за которой встроенные функции специальных возможностей, включая экранную клавиатуру, могли использоваться для повышения привилегий до SYSTEM. Уязвимость уже закрыта в мартовском пакете обновлений Microsoft.
Что известно сейчас
SecurityLab пишет, что проблема была связана с коротким моментом между запуском экранной клавиатуры и записью данных. Для эксплуатации использовалась блокировка файла oskmenu.xml, а затем системный раздел реестра подменялся символической ссылкой на выбранный ключ. Именно это позволяло добиться запуска с повышенными правами.
По данным MDSec, речь шла об уязвимости, которую исследователи называли RegPwn. Она затрагивала Windows 10, Windows 11, а также Windows Server 2012, 2016, 2019, 2022 и 2025. В публикации отмечается, что проблема была исправлена в последний Patch Tuesday и, по оценке исследователей, соответствует CVE-2026-24291.
Zero Day Initiative в обзоре мартовских обновлений Microsoft действительно указывает CVE-2026-24291 как Windows Accessibility Infrastructure (ATBroker.exe) Elevation of Privilege Vulnerability. Это и есть главный подтверждённый факт: уязвимость относилась к инфраструктуре специальных возможностей Windows и позволяла повышать привилегии.
Почему это важно
В таких историях внимание обычно привлекает не только сам баг, но и его источник. Экранная клавиатура, ATBroker.exe и другие accessibility-компоненты Windows воспринимаются как штатные системные инструменты, а не как потенциальная точка повышения привилегий. Именно поэтому подобные ошибки особенно чувствительны: они прячутся в доверенной части системы.
Для пользователей и администраторов это меняет практический взгляд на риск. Когда люди ищут, что известно об уязвимости экранной клавиатуры Windows и насколько она опасна, важен не только сам факт бага, но и то, что exploit был локальным и вёл к SYSTEM-правам. То есть проблема касалась не удалённого взлома через интернет, а сценария, где уже имеющий доступ злоумышленник мог резко расширить свои возможности внутри системы.
На практике это означает простую вещь: даже вспомогательные компоненты Windows могут становиться критически важными для безопасности. И если такой баг закрывается в рамках ежемесячного обновления, то вопрос “когда ставить патч” здесь перестаёт быть формальностью.
Что пока не ясно
При этом в открытых материалах нет полной публичной картины того, использовалась ли эта конкретная уязвимость в реальных атаках вне исследовательских или red team-сценариев. MDSec пишет о внутреннем использовании на тестах и проверках, но это не то же самое, что подтверждённая массовая эксплуатация злоумышленниками. Поэтому делать выводы о широком злоупотреблении этой схемой пока рано.
Не до конца ясно и то, насколько активно аналогичные механики могут повторяться в других компонентах Windows Accessibility Infrastructure. На данный момент подтверждён сам закрытый баг и его класс, но без новых исследований говорить о более широкой цепочке схожих проблем было бы преждевременно.
Тем, кто отвечает за безопасность Windows-машин, стоит дождаться подтверждения установки мартовских обновлений и проверить, закрыта ли уязвимость на рабочих станциях и серверах. Тем, кто просто хотел понять суть новости, можно не ждать: главное уже ясно — уязвимость в инфраструктуре специальных возможностей Windows, связанная в том числе с экранной клавиатурой, позволяла повысить привилегии до SYSTEM, и Microsoft уже выпустила исправление. Дальше важнее всего следить за тем, появятся ли дополнительные подтверждения эксплуатации этой схемы в реальных инцидентах.
Если вам интересны такие разборы уязвимостей, обновлений Windows и реальных ИБ-рисков без лишнего шума, подписывайтесь на канал.
Как вам кажется, что опаснее для Windows сегодня: редкие сложные уязвимости в ядре или такие ошибки в штатных системных компонентах, которым пользователи обычно доверяют без вопросов?