Аналитики R-Vision представили очередной ежемесячный дайджест трендовых уязвимостей, зафиксированных в апреле 2026 года. В обзор вошли наиболее критичные проблемы безопасности с высоким уровнем риска, подтверждённые эксплуатацией и повышенным интересом со стороны злоумышленников. Подборка охватывает уязвимости в продуктах Adobe, TrueConf, Microsoft.
CVE-2026-34621 | BDU:2026-04929: Уязвимость выполнения произвольного кода в Adobe Acrobat и Reader
CVSS: 8.6 | Вектор атаки: локальный
Уязвимость связана с неконтролируемым изменением атрибутов прототипа объекта, что может привести к ACE/RCE и побегу из песочницы Adobe.
Для эксплуатации нарушителю необходимо взаимодействие с пользователем. На клиенте должна быть включена настройка выполнения JavaScript-кода (включена по умолчанию). Злоумышленник создаёт специально сформированный PDF-файл через порчу Object.prototype: модификация и добавление свойств trusted или privileged. Это позволяет обойти механизмы защиты в JavaScript-движке Adobe. Нарушитель получает возможность использования ограниченных API: util.readFileIntoStream(), app.launchURL(), app.trustedFunction().
Например, пользователь открывает PDF-файл с помощью Adobe Reader. После открытия файла устанавливается соединение с удалённым сервером, откуда загружается обфусцированная полезная нагрузка, выполняемая через eval().
Статус эксплуатации уязвимости: БДУ ФСТЭК в информации от 10.04.2026 сообщает об использовании уязвимости в атаках. 11.04.2026 Adobe подтвердила наличие эксплуатации в дикой природе. CISA добавила уязвимость в KEV 13.04.2026, рекомендовав исправить её до 27.04.2026. В публичном доступе есть PoC. Исследователь Александр Агиар из ThreatLocker подготовил индикаторы компрометации.
Рекомендации по устранению: В настройках Adobe необходимо отключить выполнение JavaScript, ограничить сетевой доступ из внешних сетей и запретить открытие файлов из недоверенных источников. Для Acrobat DC, Acrobat Reader DC, Acrobat 2024 10.04.2026 выпущены исправления.
CVE-2026-3502 | BDU:2026-04546: Уязвимость удалённого выполнения кода в механизме обновления TrueConf Client (Windows)
CVSS: 7.8 | Вектор атаки: смежная сеть
TrueConf Client загружает и применяет пакеты обновлений без проверки их целостности и подлинности. Клиент доверяет файлу, полученному по URL с сервера, и не выполняет достаточной валидации перед установкой. Эксплуатация возможна при компрометации сервера обновлений TrueConf в смежной сети: атакующий, контролирующий сервер или способный подменить пакет обновления, может распространить вредоносный исполняемый файл вместе с легитимным обновлением.
Статус эксплуатации уязвимости:
БДУ ФСТЭК и Check Point Research сообщают об эксплуатации CVE-2026-3502. В рамках кампании TrueChaos против государственных организаций Юго-Восточной Азии злоумышленники использовали механизм обновления TrueConf для доставки вредоноса Havoc на уязвимые хосты.
В каталог KEV уязвимость была добавлена 02.04.2026, для федеральных агентств США установлен срок исправления до 16.04.2026.
Возможные негативные сценарии: Выполнение произвольного кода, кража конфиденциальных данных, полная компрометация системы.
Рекомендации по устранению:
- Ограничить доступ к серверу TrueConf и контуру распространения обновлений.
CVE-2026-33825 | BDU:2026-05271: Уязвимость повышения привилегий в Microsoft Defender
CVSS: 7.8 | Вектор атаки: локальный
Уязвимость повышения привилегий затрагивает Microsoft Defender Antivirus во всех поддерживаемых версиях Windows 10/11/Server.
При детектировании вредоносного файла Defender создаёт VSS-снапшот и выполняет файловые операции в контексте SYSTEM. Используя oplock и поддельный Cloud Files sync-провайдер, атакующий приостанавливает сканирование в критический момент, пока снапшот открыт. Путь к файлу подменяется на базу SAM внутри замороженного снапшота: Defender считывает SAM как файл обновления сигнатур и записывает результат в свой каталог.
Злоумышленник получает копию куста SAM, извлекает NT-хеши локальных учётных записей и повышает привилегии до SYSTEM. Уязвимость раскрыта исследователем Nightmare-Eclipse 02.04.2026 (PoC опубликован на GitHub 03.04.2026) вместе с двумя дополнительными эксплойтами:
- RedSun (16 апреля) – oplock-based TOCTOU-атака на COM-объект Storage Tiers Management Engine с перезаписью TieringEngineService.exe в C:WindowsSystem32.
- UnDefend (12 апреля) – нейтрализация сигнатурной базы Defender через эксклюзивную блокировку файлов определений.
На момент анализа недостатки RedSun и UnDefend остаются без исправления.
Статус эксплуатации уязвимости:
Исследователи Huntress зафиксировали эксплуатацию в дикой природе в апреле 2026. Первоначальный доступ осуществлялся через SSL VPN на FortiGate, с использованием скомпрометированных аккаунтов из Сингапура, Швейцарии и других стран.
Злоумышленник разворачивал BlueHammer, RedSun, UnDefend и Go-агент BeigeBurrow на staybud.dpdns[.]org:443. В наблюдаемом инциденте LPE не сработала, Defender задетектил FunnyApp.exe как Exploit:Win32/DfndrPEBluHmr.BZ.
CISA добавила уязвимость в каталог KEV с требованием исправления до 06.05.2026.
Рекомендации по устранению:
14.04.2026 вендор выпустил обновление безопасности, рекомендуется установить его на все затронутые версии Windows.
Для RedSun и UnDefend без патча, рекомендуется принять компенсирующие меры:
CVE-2026-32201 | BDU:2026-05272: Уязвимость подделки данных в Microsoft SharePoint Server
CVSS: 6.5 | Вектор атаки: сетевой
Уязвимость в Microsoft SharePoint связана с недостаточной проверкой входных данных, что позволяет атакующему удалённо осуществлять спуфинг без аутентификации. По информации Microsoft, это даёт доступ к конфиденциальной информации и возможность ограниченного изменения данных.
Исследователи Foresiet уточняют, что проблема возникает при обработке параметров в HTTP-запросах, отвечающие за отображение ресурсов SharePoint (страницы, списки, документы). Злоумышленник может передавать некорректные данные, обходящие проверки подлинности контента, и формировать поддельные ответы от имени доверенных компонентов. Это позволяет просматривать чувствительные метаданные или изменять отображаемый контент для последующих фишинговых атак.
Статус эксплуатации уязвимости: CISA 14.04.2026 добавила уязвимость в каталог KEV со сроком исправления до 28.04.2026. По данным ShadowServer, на конец апреля в открытом доступе находятся около 1134 потенциально уязвимых серверов SharePoint.
Как защититься?
В приоритете – своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение – первоочередная мера защиты.
Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований, все больше компаний стремятся использовать современные решения класса Vulnerability Management, например, R-Vision VM, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение.
Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.
Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.
Оригинал публикации на сайте CISOCLUB: "Эксперты R-Vision предупредили о критических уязвимостях апреля в Adobe, Microsoft и TrueConf".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.