MaxPatrol SIEM
Встроенный ML-помощник повышает эффективность обнаружения атак
Новости
Positive Technologies и Microsoft совместно повысили защиту операционных систем
Воспользовавшись этими уязвимостями, злоумышленник мог бы повысить привилегии на устройствах и получить над ними контроль
Корпорация Microsoft выпустила обновления безопасности для двух десктопных и четырех серверных Windows-систем различных версий и разрядности, чтобы устранить две уязвимости нулевого дня в диспетчере окон рабочего стола. Их обнаружил специалист экспертного центра безопасности Positive Technologies Сергей Тарасов. Вендор был оповещен об угрозах в рамках политики ответственного разглашения и рекомендует пользователям как можно скорее загрузить исправления.
Недостатки защиты в операционных системах семейств Windows угрожают как частным пользователям, так и организациям любого масштаба. Решения Microsoft для персональных компьютеров, по статистике аналитической платформы Statcounter, находятся на первом месте по распространенности, занимая 63% мирового рынка в этом сегменте.
Ошибки безопасности PT-2026-401801 (CVE-2026-35419; BDU: 2026-02246) и PT-2026-40155 (CVE-2026-34336; BDU: 2026-02245) содержались в модуле dwmcore.dll, который входит в состав Desktop Window Manager (DWM). Этот компонент формирует для пользователя итоговое изображение рабочего стола, а также всех приложений, окон, анимаций и визуальных эффектов. Уязвимости в числе прочего затронули Windows 10, 11, Server 2019, Server 2022, Server 2025 — полный список систем перечислен в официальных уведомлениях разработчика (1, 2).
Пробелам присвоен высокий и средний уровень опасности. PT-2026-40155 c оценкой 7,8 балла по шкале CVSS 3.1 принадлежит к классу «переполнение буфера в куче» и разрешает записывать данные за пределами выделенной области памяти. В случае ее успешной эксплуатации атакующий может нарушить работу системы или запустить вредоносный код. Уязвимость PT-2026-40180, в свою очередь, получила 5,5 балла по шкале CVSS 3.1.
Чтобы реализовать атаку, на целевом устройстве потребовалось бы запустить код. Потенциальный злоумышленник мог предварительно скомпрометировать систему, обманом заставив жертву открыть подготовленное им фишинговое письмо, либо иным способом получить доступ к учетной записи с низкими привилегиями. В дальнейшем успешное применение недостатков дало бы ему возможность повысить в ОС права до максимального уровня (SYSTEM) и выполнить любой код. С этого момента атакующий имел бы полный контроль над гаджетом, включая возможность устанавливать вредоносные программы, изменять параметры ОС, красть данные и отключать средства защиты.
1 Недостатки безопасности зарегистрированы на портале dbugs, где аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира.
«DWM — один из ключевых элементов Windows, отвечающий за визуальное отображение интерфейса. Уязвимости в его модуле допускали эскалацию привилегий, даже если злоумышленник изначально имел ограниченный доступ. В первую очередь это чревато полной компрометацией устройства и утечкой конфиденциальных данных. В случае атаки на рабочий ноутбук, подключенный к корпоративной инфраструктуре, хакер проник бы в организацию и, вероятнее всего, начал продвигаться по ее сети».
Сергей ТарасовРуководитель группы анализа уязвимостей экспертного центра безопасности Positive Technologies
Для обнаружения атак, в которых злоумышленники могли бы воспользоваться подобными дефектами безопасности, эффективно применение систем управления уязвимостями, например MaxPatrol VM. MaxPatrol SIEM, в свою очередь, детектирует попытки предэксплуатации уязвимостей в инфраструктуре. MaxPatrol EPP через эмулятор антивирусного ядра способен превентивно выявлять вредоносные программы, эксплуатирующие эти уязвимости, а MaxPatrol EDR выявляет угрозы на конечных устройствах под управлением более чем 25 операционных систем, среди которых — основные версии ОС из десятки самых востребованных в мире (в том числе ОС семейств Windows).
Исследователи Positive Technologies регулярно обнаруживают недостатки безопасности в продуктах Microsoft и помогают их устранять. Сотрудничество длится с 2012 года, за это время совместно исправлены 13 уязвимостей.
Быть в курсе актуальных недостатков безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.
