Positive Technologies представила мартовский дайджест трендовых уязвимостей

Эксперты Positive Technologies отнесли к трендовым еще четыре уязвимости, обнаруженные в продуктах Microsoft. Компания сообщила, что каждый недостаток безопасности уже используется злоумышленниками в реальных атаках.

Трендовыми уязвимостями называются наиболее опасные недостатки безопасности в инфраструктуре компаний, требующие оперативного устранения или принятия компенсирующих мер. Они либо уже активно эксплуатируются злоумышленниками, либо могут быть использованы ими в ближайшее время. Чтобы определить трендовые уязвимости, эксперты Positive Technologies собирают и анализируют информацию из различных источников: баз уязвимостей и эксплойтов, бюллетеней безопасности вендоров, социальных сетей, блогов, телеграм-каналов, публичных репозиториев кода. Выявлять такие недостатки в инфраструктуре компании помогает система управления уязвимостями MaxPatrol VM, в которую информация об угрозах поступает в течение 12 часов с момента их появления.

По данным The Verge, уязвимости, описанные ниже, потенциально могут затрагивать около миллиарда устройств. Под угрозой находятся пользователи операционных систем Microsoft Windows, включая Windows 10 и 11, а также Windows Server 2019, 2022 и 2025.

Уязвимость, связанная с повышением привилегий, в системе графического интерфейса рабочего стола Desktop Window Manager (DWM)

PT-2026-7404 (CVE-2026-21519, CVSS — 7,8)

Уязвимость позволяет злоумышленнику с низкими привилегиями воспользоваться некорректной обработкой ресурсов и повысить их до уровня SYSTEM. Это означает, что в случае успеха атакующий может получить полный контроль над уязвимой системой. Чтобы использовать недостаток безопасности ему было необходимо получить доступ к уязвимому устройству через вредоносное вложение, уязвимость удаленного выполнения кода, или через горизонтальное перемещение по инфраструктуре организации.

Уязвимость, связанная с повышением привилегий, в службах удаленного рабочего стола

PT-2026-7412 (CVE-2026-21533, CVSS — 7,8)

Исследователи CrowdStrike обнаружили использование эксплойта в атаках на организации в США и Канаде до публичного раскрытия информации об уязвимости. Компания полагает, что официальное сообщение Microsoft о проблеме может побудить злоумышленников и брокеров, обладающих эксплойтом, использовать или монетизировать его в ближайшем будущем.

Недостаток безопасности был обнаружен в службах удаленного рабочего стола (Remote Desktop Services, RDS) и связан с некорректным управлением привилегиями: система не ограничивала права должным образом, что могло позволить локальному злоумышленнику достичь уровня SYSTEM. По словам компании CrowdStrike, чья команда исследователей сообщила об уязвимости, код эксплойта позволяет модифицировать конфигурацию службы RDS и добавлять нового пользователя в группу администраторов.

Имея уровень привилегий SYSTEM, атакующий мог отключить средства защиты, развернуть дополнительное вредоносное ПО или получить доступ к конфиденциальным или учетным данным, что может привести к полной компрометации домена.

Уязвимость, приводящая к удаленному выполнению кода, в графическом интерфейсе Windows Shell

PT-2026-7396 (CVE-2026-21510, CVSS — 8,8)

Уязвимость связана с некорректной работой защитных механизмов и позволяет злоумышленнику обойти меры безопасности SmartScreen и предупреждения Windows Shell. Для успешной эксплуатации требуется взаимодействие с пользователем. Атакующему требуется убедить его открыть специально подготовленную вредоносную ссылку или ярлык, после чего система может не показывать привычные окна предостережений и выполнить опасное содержимое.

Уязвимость, приводящая к удаленному выполнению кода, в Microsoft Word

PT-2026-7400 (CVE-2026-21514, CVSS — 7,8)