Поделиться
R-Vision назвал семь критичных уязвимостей, выявленных за февраль 2026 года
Аналитики R-Vision проанализировали уязвимости, выявленные в январе, и выделили наиболее опасные среди них — с высоким уровнем риска, подтвержденной эксплуатацией и особым интересом для специалистов в области ИБ. Об этом CNews сообщили представители R-Vision.
В дайджест вошли следующие уязвимости: CVE‑2026‑21519 - Microsoft Desktop Window Manager; CVE‑2026‑21513 - Microsoft MSHTML; СVE-2026-21510 - Microsoft Windows Shell; CVE‑2026‑21533 - Microsoft Remote Desktop Services; СVE-2026-20841 - Microsoft Windows Notepad; СVE-2026-21514 - Microsoft Word; CVE-2026-2441 - Google Chrome.
CVE‑2026‑21519 | BDU:2026-01702: Уязвимость повышения привилегий в Desktop Window Manager (DWM)
CVSS: 7.8 | Вектор атаки: локальный Ошибка type confusion в Desktop Window Manager (DWM) позволяет локальному пользователю с низкими привилегиями передать специально подготовленные данные, добиться некорректной обработки памяти и выполнить код с правами SYSTEM. В день выхода февральского Patch Tuesday CISА добавило уязвимость в Каталог KEV и рекомендовало ее устранить до 3 марта 2026 г.
CVE‑2026‑21513 | BDU:2026-01700: Уязвимость обхода функции безопасности в Microsoft MSHTML CVSS: 8.8 | Вектор атаки: сетевой
Уязвимость в MSHTML позволяет обойти проверки Mark‑of‑the‑Web из-за некорректной валидации в ieframe.dll. Атакующий может заставить пользователя открыть вредоносный LNK- или HTML-файл, после чего содержимое будет выполнено вне песочницы браузера.
Microsoft отмечает, что уязвимость была публично раскрыта и активно эксплуатировалась еще до выхода патча.
В день выхода февральского Patch Tuesday CISА добавило уязвимость в Каталог KEV и рекомендовало ее устранить до 3 марта 2026 г.
СVE-2026-21510 | BDU:2026-01630: Уязвимость обхода функции безопасности в Windows Shell CVSS: 8.8 | Вектор атаки: сетевой
Уязвимость в Windows Shell позволяет обойти Mark‑of‑the‑Web и SmartScreen: система некорректно обрабатывает LNK-файлы и URL-ссылки, из-за чего вредоносный файл может восприниматься как локальный и запускаться без предупреждения. Для эксплуатации достаточно убедить пользователя открыть такую ссылку или ярлык.
Агентство CISA в день выхода февральского Patch Tuesday добавило эту уязвимость в каталог KEV, отметив важность ее исправления до 3 марта 2026 г.
CVE‑2026‑21533 | BDU:2026-01701: Уязвимость повышения привилегий в Remote Desktop Services (RDS) CVSS: 7.8|Вектор атаки: локальный
Уязвимость в Remote Desktop Services (RDS) позволяет локальному пользователю с низкими привилегиями изменить параметры запуска TermService и добиться выполнения вредоносного файла с правами SYSTEM.
По данным CrowdStrike, уязвимость эксплуатировалась в атаках на организации как минимум с 24 декабря 2025 г. В ходе эксплуатации атакующие изменяли конфигурационный ключ службы RDS, что позволяло запускать вредоносный код с привилегиями SYSTEM и закрепляться в системе. Агентство CISA в день выхода февральского Patch Tuesday добавило эту уязвимость в KEV, отметив важность ее исправления до 3 марта 2026 г.
СVE-2026-20841| BDU:2026-01742: Уязвимость удаленного выполнения кода в приложении Windows Notepad CVSS: 7.8 | Вектор атаки: локальный
Уязвимость затрагивает обновленный Notepad в Windows 11 с поддержкой Markdown. Атакующий может встроить в документ вредоносную ссылку на исполняемый файл или установщик, и при переходе по ней добиться удаленного выполнения кода.
После исправления риск возможности эксплуатации снижен, но не исключен: Notepad показывает предупреждение, которое пользователь может проигнорировать.
В публичном доступе есть PoC эксплойтов. Подтвержденных эксплуатаций уязвимости на момент разбора не зафиксировано.
СVE-2026-21514 | BDU:2026-01699: Уязвимость обхода функции безопасности Microsoft Word CVSS: 7.8 | Вектор атаки: локальный
Уязвимость в Microsoft Word связана с некорректной обработкой OLE‑объектов и позволяет выполнить вложенный вредоносный код при открытии специально подготовленного документа. Просмотр файла в Preview Pane к эксплуатации не приводит.
Microsoft отмечает, что уязвимость была публично раскрыта и активно эксплуатировалась еще до выхода патча.
Агентство CISA в день выхода февральского Patch Tuesday добавило эту уязвимость в KEV, отметив важность исправления уязвимости до 3 марта 2026 г.
Вендор 10 февраля 2026 г. выпустил обновление безопасности, рекомендуется как можно скорее установить обновление для затронутых продуктов Microsoft.
CVE-2026-2441 | BDU:2026-01947: Выполнение произвольного кода внутри изолированной программной среды в Google Chrome CVSS: 8.8 | Вектор атаки: сетевой
Критическая уязвимость в Chrome связана с ошибкой Use After Free в компоненте CSSFontFeatureValuesMap, отвечающем за обработку CSS-структур. При изменении коллекции браузер может обратиться к уже освобожденной области памяти, что открывает возможность для выполнения вредоносного кода через специально подготовленную веб-страницу. Эксплуатация возможна при посещении такого сайта и не требует дополнительных действий от пользователя. Код выполняется в изолированном процессе браузера, поэтому уязвимость может использоваться как этап в более сложной цепочке атаки.
Вендор подтвердил наличие эксплуатации в дикой природе до выпуска исправления. Публичные технические детали ограничены.
CISA в день выхода февральского Patch Tuesday добавила эту уязвимость в KEV, отметив важность исправления уязвимости до 10 марта 2026 г.
Что делать?
В первую очередь рекомендуется установить актуальные обновления безопасности для Windows и Microsoft Office, а также обновить Google Chrome до версии 145.0.7632.75 и выше. Для системной работы с подобными рисками целесообразно использовать решения класса Vulnerability Management, которые позволяют автоматизировать сканирование инфраструктуры, приоритизацию уязвимостей и контроль их устранения.
Особый приоритет следует отдать уязвимостям, включенным в каталог KEV. Для части из них установлен срок устранения до 3 марта 2026 г., для CVE-2026-2441 — до 10 марта 2026 г. Регулярный контроль состояния ИТ-инфраструктуры и своевременное обновление ПО позволяют существенно снизить риск эксплуатации.
Короткая ссылка
