Февральский "В тренде VM": уязвимости в продуктах Microsoft. Традиционная ежемесячная подборка трендовых уязвимостей. В этот раз компактная и моновендорная.
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Всего две уязвимости:
🔻 RCE - Microsoft Office (CVE-2026-21509)
🔻 InfDisc - Desktop Window Manager (CVE-2026-20805)
Февральский Microsoft Patch Tuesday. Всего 55 уязвимостей, в два раза меньше, чем в январе. Есть целых шесть (❗️) уязвимостей с признаком эксплуатации вживую:
🔻 SFB/RCE - Windows Shell (CVE-2026-21510)
🔻 SFB/RCE - Microsoft Word (CVE-2026-21514)
🔻 SFB - MSHTML Framework (CVE-2026-21513)
🔻 EoP - Windows Remote Desktop Services (CVE-2026-21533)
🔻 EoP - Desktop Window Manager (CVE-2026-21519)
🔻 DoS - Windows Remote Access Connection Manager (CVE-2026-21525)
Также есть одна уязвимость с публичным эксплоитом:
🔸 DoS - libjpeg (CVE-2023-2804)
Из остальных уязвимостей можно выделить:
🔹 RCE - Windows Notepad App (CVE-2026-20841)
🔹 Spoofing - Outlook (CVE-2026-21511)
🔹 EoP - Windows Kernel (CVE-2026-21231, CVE-2026-21239, CVE-2026-21245), Windows AFD.sys (CVE-2026-21236, CVE-2026-21238, CVE-2026-21241)
На сайте ФСТЭК 9 февраля был опубликован документ с рекомендациями по харденингу общесистемного и прикладного ПО под Windows и Linux. Документ на 18 страниц содержит 12 групп рекомендаций:
1. Парольные политики Windows и Linux
2. Доступ и логирование событий в MySQL/MariaDB, PostgreSQL, MS SQL Server
3. Отключение SMBv1 в Windows
4. Отключение NTLMv1 в Windows
5. Удаление учётной записи "Гость" из групп "Администраторы" в Windows
6. Хранение учётных данных и ограничение доступа к конфигурационным файлам Windows и Linux
7. Аудит и блокирование неиспользуемых открытых портов
8. Отключение автовхода пользователя в Windows
9. Безопасная настройка SSH в Linux
10. Назначение прав доступа на файлы и директории в Windows и Linux
11. Отключение неиспользуемых служб и компонентов операционной системы в Windows и Linux
12. Отключение неиспользуемых учётных записей и ограничение записей с избыточными правами в Windows и Linux
Про уязвимость Remote Code Execution - Microsoft Office (CVE-2026-21509). Уязвимость была экстренно исправлена 26 января вне регулярных Microsoft Patch Tuesday. Microsoft классифицировали её как Security Feature Bypass, но, фактически, это Remote Code Execution. Уязвимость заключается в обходе функций безопасности OLE (Object Linking and Embedding) в Microsoft 365 и Microsoft Office. Она эксплуатируется при открытии зловредных файлов Office (просмотр в Preview Pane безопасен).
⚙️ В Office 2021+ защита включается автоматически за счёт серверных изменений после перезапуска приложений. Для Office 2016/2019 требуется установить обновления или сделать изменения в реестре.
👾 Microsoft сообщают об эксплуатации уязвимости в реальных атаках.
🛠 Публичных эксплоитов пока нет.
Январский "В тренде VM": уязвимости в Windows, React и MongoDB. Традиционная ежемесячная подборка трендовых уязвимостей. Стартуем сезон 2026. 🙂
🗞 Пост на Хабре
🗒 Дайджест на сайте PT
Всего три уязвимости:
🔻 EoP - Windows Cloud Files Mini Filter Driver (CVE-2025-62221)
🔻 RCE - React Server Components "React2Shell" (CVE-2025-55182)
🔻 InfDisc - MongoDB "MongoBleed" (CVE-2025-14847)
Про уязвимость Information Disclosure - Desktop Window Manager (CVE-2026-20805). Desktop Window Manager - это композитный оконный менеджер, входящий в состав Windows, начиная с Windows Vista. Эксплуатация уязвимости, исправленной в рамках январского Microsoft Patch Tuesday, позволяет локальному злоумышленнику раскрыть адрес раздела ("section address") порта ALPC, относящийся к памяти пользовательского режима.
👾 Microsoft отметили, что эта уязвимость эксплуатируется в атаках. Уязвимость была добавлена в CISA KEV 13 января. Подробностей по атакам пока нет, но эксперты Rapid7 предполагают, что утечка адреса памяти могла позволить злоумышленникам обойти ASLR, упрощая создание стабильного эксплоита для повышения привилегий через DWM.
🛠 Публичные PoC-и эксплоитов доступны на GitHub с 14 января.
Январский Microsoft Patch Tuesday. Всего 114 уязвимостей, в два раза больше, чем в декабре. Есть одна уязвимость с признаком эксплуатации вживую:
🔻 InfDisc - Desktop Window Manager (CVE-2026-20805)
Также есть две уязвимости с публичными эксплоитами:
🔸 RCE - Windows Deployment Services (CVE-2026-0386)
🔸 EoP - Windows Agere Soft Modem Driver (CVE-2023-31096)
Из остальных уязвимостей можно выделить:
🔹 RCE - Microsoft Office (CVE-2026-20952, CVE-2026-20953), Windows NTFS (CVE-2026-20840, CVE-2026-20922)
🔹 EoP - Desktop Windows Manager (CVE-2026-20871), Windows Virtualization-Based Security (VBS) Enclave (CVE-2026-20876)
🔹 SFB - Secure Boot Certificate Expiration (CVE-2026-21265)
Отдельно хотелось бы выделить уязвимость, зарепорченную Positive Technologies:
🟥 EoP - Windows Telephony Service (CVE-2026-20931)
Это мой личный блог. Всё, что я пишу здесь - моё личное мнение, которое никак не связано с моим работодателем. Все названия продуктов, логотипы и бренды являются собственностью их владельцев. Все названия компаний, продуктов и услуг, упоминаемые здесь, упоминаются только для идентификации. Упоминание этих названий, логотипов и брендов не подразумевает их одобрения (endorsement). Вы можете свободно использовать материалы этого сайта, но было бы неплохо, если бы вы разместили ссылку на https://avleonov.ru и отправили мне сообщение об этом на me@avleonov.com или связались со мной любым другим способом.