MaxPatrol VM
Где находятся уязвимости в вашей инфраструктуре?
Недостатки угрожали безопасности более 30 настольных и серверных ОС разных версий
В рамках январского обновления безопасности софтверный гигант Microsoft устранил две ранее неизвестные уязвимости в драйвере файловой системы NTFS — ключевом компоненте современных операционных систем Windows, отвечающем за хранение и извлечение файлов с жестких дисков и твердотельных накопителей. О недостатках, найденных специалистом экспертного центра безопасности Positive Technologies (PT ESC) Сергеем Тарасовым, разработчик был уведомлен в рамках политики ответственного разглашения. До выпуска исправлений потенциальная эксплуатация уязвимостей могла привести к компрометации персонального или рабочего устройства, так как давала злоумышленнику полный контроль над ОС1.
1 Для гипотетического использования одной из двух закрытых уязвимостей требовалось, чтобы вредоносный код был предварительно загружен на атакуемое устройство.
Патчи были опубликованы для 37 уязвимых операционных систем, в частности для Windows 10, 11, Server 2019, Server 2022, Server 20252. Среди всех затронутых десктопных ОС самой популярной в мире является Windows 11: по данным аналитической платформы StatCounter, в декабре 2025 года ее использовали 51% клиентов вендора. Если рассматривать серверное исполнение, то Windows Server — вторая по популярности на глобальном рынке по версии Fortune Business Insights.
Два пробела в защите системного файла ntfs.sys, который управляет файловой системой NTFS, получили общий идентификатор PT-2026-26903 (CVE-2026-20 840). Вендор оценил уязвимость в 7,8 балла по шкале CVSS 3.1, что соответствует высокому уровню опасности. Она относится к классу heap-based buffer overflow: такие дефекты дают потенциальному атакующему возможность записывать данные за пределы предназначенной для них области памяти. В данном случае ошибка была связана с недостаточно безопасной обработкой виртуальных жестких дисков.
3 Недостатки безопасности зарегистрированы на портале dbugs, на котором аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира.
Для успешной атаки злоумышленнику необходимо было иметь предварительный доступ к системе, например через уже установленное вредоносное ПО. После этого он мог подготовить специальный VHD4-файл, заставить систему его обработать и тем самым записать в защищенные области памяти произвольные данные, нарушив ее целостность.
4 Virtual hard disk.
«До устранения уязвимости открывали путь к эскалации привилегий до высшего уровня доступа в операционной системе. Получив системные права, злоумышленник был бы способен полностью контролировать захваченный компьютер: скрытно устанавливать вредоносные программы, похищать любые данные или, если бы устройство было корпоративным, использовать его как плацдарм для развития атак в локальной сети».
Сергей ТарасовРуководитель группы анализа уязвимостей экспертного центра безопасности Positive Technologies
В том же компоненте был исправлен еще один недостаток с высокой степенью опасности — PT-2026-2727 (CVE-2026-20 922, оценка 7,8 балла по шкале CVSS 3.1). Уязвимость класса «переполнение буфера в области динамически выделенной памяти» вызвана отсутствием в коде драйвера проверок на корректность таблиц в разделе. Условный злоумышленник мог воспользоваться уязвимостью, чтобы повысить привилегии в операционных системах Windows до максимальных (system) и выполнять ранее ему неразрешенные команды, например просматривать конфиденциальную информацию, удалять файлы, устанавливать любые программы, в том числе ВПО. Опыт расследований инцидентов PT ESC показывает, что успешное использование уязвимостей, подобных PT-2026-2727, может, помимо угрозы для физических лиц, являться началом многоступенчатой целенаправленной атаки на организацию, упрощая проникновение злоумышленника в инфраструктуру.
Если возможности установить обновления Microsoft нет, эксперт Positive Technologies рекомендует пользователям с особой осторожностью работать с виртуальными жесткими дисками (в частности, не открывать VHD-файлы из непроверенных источников).
Исследователи Positive Technologies регулярно обнаруживают недостатки безопасности в решениях Microsoft и помогают разработчику их устранять. Сотрудничество с вендором длится с 2012 года: за это время совместно исправлены 11 уязвимостей.
Для обнаружения атак, в которых злоумышленники могли бы воспользоваться подобными дефектами безопасности, эффективно применение систем управления уязвимостями, например MaxPatrol VM. MaxPatrol SIEM, в свою очередь, детектирует попытки предэксплуатации уязвимостей в инфраструктуре. Обеспечить комплексную защиту помогут продукты класса EDR, блокирующие подозрительные действия на конечных устройствах. Так, MaxPatrol EDR может выявлять угрозы на конечных устройствах под управлением более чем 25 операционных систем, среди которых основные версии ОС из десятки самых востребованных в мире, в том числе и ОС семейства Windows.
Быть в курсе актуальных недостатков безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в ПО и оборудовании производителей со всего мира, а также рекомендации вендоров по их устранению.
