По итогам анализа, проведенного экспертами Positive Technologies, мы представляем список уязвимостей, которые отнесли к трендовым. Это самые опасные недостатки безопасности, которые уже активно эксплуатируются злоумышленниками или могут быть использованы ими в ближайшее время. Рекомендуем проверить, устранены ли в вашей компании и те трендовые уязвимости, о которых мы писали в предыдущих дайджестах.
Всего в феврале мы отнесли к трендовым две уязвимости — среднего и высокого уровня опасности; обе были обнаружены в продуктах компании Microsoft. Первая уязвимость (PT-2026-2658, CVE-2026-20805) в компоненте Desktop Window Manager1 операционных систем Windows позволяет локальному злоумышленнику получить доступ к конфиденциальным данным из памяти пользовательского режима. Вторая уязвимость (PT-2026-4775, CVE-2026-21509) связана с обходом функции безопасности в Microsoft Office и позволяет атакующему добиться удаленного выполнения произвольного кода при открытии пользователем вредоносного документа.
Подробнее о перечисленных уязвимостях, случаях их эксплуатации и способах устранения читайте в дайджесте.
Уязвимости, описанные ниже, по данным The Verge, потенциально могут затрагивать около миллиарда устройств. Последствия могут коснуться всех пользователей операционных систем Microsoft Windows, включая Windows 10 и 11, а также Windows Server.
1Desktop Window Manager (DWM) — системный компонент Microsoft Windows, который отвечает за визуальное оформление и отображение окон на экране.
Уязвимость, приводящая к раскрытию информации, в Desktop Window Manager
PT-2026-2658 (CVE-2026-20805), оценка по CVSS — 5,5, средний уровень опасности
Уязвимость, связанная с утечкой конфиденциальной информации (CWE-200), позволяет уже авторизованному злоумышленнику раскрыть адрес раздела памяти пользовательского режима, связанного с ALPC2-портом.
Хотя эксплуатация этой уязвимости сама по себе не приводит к выполнению произвольного кода или повышению привилегий, она может стать отправной точкой для обхода ASLR3. Зная адрес памяти DWM, злоумышленник может значительно повысить вероятность успеха следующего этапа атаки, заодно воспользовавшись другой уязвимостью, чтобы создать стабильный эксплойт для повышения привилегий.
Признаки эксплуатации: Microsoft отмечает, что уязвимость эксплуатируется в реальных атаках. Эксперты из Trend Micro предполагают, что CVE-2026-20805 могла использоваться в цепочке с другими уязвимостями для развития атаки. Кроме того, CISA добавило эту уязвимость в каталог KEV как активно эксплуатируемую.
Публично доступные эксплойты: опубликован PoC.
Способы устранения, компенсирующие меры: установить обновления безопасности, которые представлены на официальном сайте Microsoft.
2Advanced Local Procedure Call (ALPC) — механизм межпроцессного взаимодействия, используемый в Windows для обмена данными между процессами, работающими на одном компьютере.
3Address space layout randomization (ASLR) — технология защиты в операционных системах, которая случайным образом изменяет адреса, по которым размещаются ключевые части программы в памяти (например, исполняемый код, стек, куча или библиотеки).
Уязвимость, приводящая к удаленному выполнению кода, в Microsoft 365 и Microsoft Office
PT-2026-4775 (CVE-2026-21509), оценка по CVSS — 7,8, высокий уровень опасности
CVE-2026-21509 затрагивает сразу несколько версий офисного пакета Microsoft, включая Office 2016 и 2019, Office LTSC 2021 и 2024, а также корпоративную версию Microsoft 365 Apps for Enterprise.
Уязвимость связана с использованием ненадежных входных данных (CWE-807) и позволяет злоумышленнику обойти локальную функцию Object Linking and Embedding4. Для эксплуатации уязвимости ему необходимо, чтобы пользователь открыл специально подготовленный вредоносный документ Office. В случае успеха атакующий получает возможность выполнить произвольный код с правами текущего пользователя. Это может привести к утечке конфиденциальных данных или нарушению работы системы.
Признаки эксплуатации: Microsoft предупредила, что уязвимость уже используется в реальных атаках. Кроме того, CVE-2026-21509 была добавлена в каталог CISA KEV.
Публично доступные эксплойты: нет в открытом доступе.
Способы устранения, компенсирующие меры: установить обновления безопасности, которые представлены на официальном сайте Microsoft. В Office 2021 и более новых версиях обновления применяются автоматически после перезапуска приложений. Пользователям Office 2016 и 2019 требуется установить исправления.
4Object Linking and Embedding (OLE) — механизм взаимодействия между приложениями в операционной системе Windows, который позволяет встраивать или связывать данные из одного приложения в документ другого приложения.
Как защититься
Использование популярных продуктов, содержащих трендовые уязвимости, может поставить под угрозу любую компанию. Такие уязвимости наиболее опасны и требуют немедленного исправления. В систему управления уязвимостями MaxPatrol VM информация о подобных угрозах поступает в течение 12 часов с момента их появления, что позволяет вовремя принять меры по устранению и защитить инфраструктуру компании. Не стоит забывать и об исправлении других уязвимостей, которые также могут нанести непоправимый вред организации. Узнавать об актуальных недостатках безопасности можно на странице «Трендовые уязвимости» и на портале dbugs, где аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира, а также рекомендации вендоров по устранению пробелов в защите.