Поделиться
Эксперты R-Vision предупредили о критических уязвимостях апреля в Adobe, Microsoft и TrueConf
Аналитики R-Vision представили очередной ежемесячный дайджест трендовых уязвимостей, зафиксированных в апреле 2026 г. В обзор вошли наиболее критичные проблемы безопасности с высоким уровнем риска, подтверждённой эксплуатацией и повышенным интересом со стороны злоумышленников. Подборка охватывает уязвимости в продуктах Adobe, TrueConf, Microsoft.
CVE-2026-34621 | BDU:2026-04929: уязвимость выполнения произвольного кода в Adobe Acrobat и Reader. CVSS: 8.6 | Вектор атаки: локальный.
Уязвимость связана с неконтролируемым изменением атрибутов прототипа объекта, что может привести к ACE/RCE и побегу из песочницы Adobe.
Для эксплуатации нарушителю необходимо взаимодействие с пользователем. На клиенте должна быть включена настройка выполнения JavaScript-кода (включена по умолчанию). Злоумышленник создаёт специально сформированный PDF-файл через порчу Object.prototype: модификация и добавление свойств trusted или privileged. Это позволяет обойти механизмы защиты в JavaScript-движке Adobe. Нарушитель получает возможность использования ограниченных API: util.readFileIntoStream(), app.launchURL(), app.trustedFunction().
Например, пользователь открывает PDF-файл с помощью Adobe Reader. После открытия файла устанавливается соединение с удалённым сервером, откуда загружается обфусцированная полезная нагрузка, выполняемая через eval().
Статус эксплуатации уязвимости: БДУ ФСТЭК в информации от 10.04.2026 сообщает об использовании уязвимости в атаках. 11.04.2026 Adobe подтвердила наличие эксплуатации в дикой природе. CISA добавила уязвимость в KEV 13.04.2026, рекомендовав исправить её до 27.04.2026. В публичном доступе есть PoC. Исследователь Александр Агиар из ThreatLocker подготовил индикаторы компрометации.
Рекомендации по устранению: В настройках Adobe необходимо отключить выполнение JavaScript, ограничить сетевой доступ из внешних сетей и запретить открытие файлов из недоверенных источников. Для Acrobat DC, Acrobat Reader DC, Acrobat 2024 10.04.2026 выпущены исправления.
CVE-2026-3502 | BDU:2026-04546: уязвимость удалённого выполнения кода в механизме обновления TrueConf Client (Windows). CVSS: 7.8 | Вектор атаки: смежная сеть.
TrueConf Client загружает и применяет пакеты обновлений без проверки их целостности и подлинности. Клиент доверяет файлу, полученному по URL с сервера, и не выполняет достаточной валидации перед установкой. Эксплуатация возможна при компрометации сервера обновлений TrueConf в смежной сети: атакующий, контролирующий сервер или способный подменить пакет обновления, может распространить вредоносный исполняемый файл вместе с легитимным обновлением.
Статус эксплуатации уязвимости: БДУ ФСТЭК и Check Point Research сообщают об эксплуатации CVE-2026-3502. В рамках кампании TrueChaos против государственных организаций Юго-Восточной Азии злоумышленники использовали механизм обновления TrueConf для доставки вредоноса Havoc на уязвимые хосты.
В каталог KEV уязвимость была добавлена 02.04.2026, для федеральных агентств США установлен срок исправления до 16.04.2026.
Возможные негативные сценарии: Выполнение произвольного кода, кража конфиденциальных данных, полная компрометация системы.
Рекомендации по устранению: обновить TrueConf Client for Windows до версии 8.5.3 или выше; ограничить доступ к серверу TrueConf и контуру распространения обновлений.
CVE-2026-33825 | BDU:2026-05271: уязвимость повышения привилегий в Microsoft Defender. CVSS: 7.8 | Вектор атаки: локальный. Уязвимость повышения привилегий затрагивает Microsoft Defender Antivirus во всех поддерживаемых версиях Windows 10/11/Server.
При детектировании вредоносного файла Defender создаёт VSS-снапшот и выполняет файловые операции в контексте SYSTEM. Используя oplock и поддельный Cloud Files sync-провайдер, атакующий приостанавливает сканирование в критический момент, пока снапшот открыт. Путь к файлу подменяется на базу SAM внутри замороженного снапшота: Defender считывает SAM как файл обновления сигнатур и записывает результат в свой каталог.
Злоумышленник получает копию куста SAM, извлекает NT-хеши локальных учётных записей и повышает привилегии до SYSTEM. Уязвимость раскрыта исследователем Nightmare-Eclipse 02.04.2026 (PoC опубликован на GitHub 03.04.2026) вместе с двумя дополнительными эксплойтами: RedSun (16 апреля) – oplock-based TOCTOU-атака на COM-объект Storage Tiers Management Engine с перезаписью TieringEngineService.exe в C:\Windows\System32; UnDefend (12 апреля) – нейтрализация сигнатурной базы Defender через эксклюзивную блокировку файлов определений.
На момент анализа недостатки RedSun и UnDefend остаются без исправления.
Статус эксплуатации уязвимости: исследователи Huntress зафиксировали эксплуатацию в дикой природе в апреле 2026. Первоначальный доступ осуществлялся через SSL VPN на FortiGate,с использованием скомпрометированных аккаунтов из Сингапура, Швейцарии и других стран.
Злоумышленник разворачивал BlueHammer, RedSun, UnDefend и Go-агент BeigeBurrow на staybud.dpdns[.]org:443. В наблюдаемом инциденте LPE не сработала, Defender задетектил FunnyApp.exe как Exploit:Win32/DfndrPEBluHmr.BZ.
CISA добавила уязвимость в каталог KEV с требованием исправления до 06.05.2026.
Рекомендации по устранению: 14.04.2026 вендор выпустил обновление безопасности, рекомендуется установить его на все затронутые версии Windows.
Для RedSun и UnDefend без патча, рекомендуется принять компенсирующие меры: AppLocker/WDAC на исполнение из Pictures/Downloads/%TEMP%; Мониторинг oplock-активности у MsMpEng.exe; Детект NTFS junction/mount point в пользовательских каталога; Аудит регистрации Cloud Files sync root.
CVE-2026-32201 | BDU:2026-05272: уязвимость подделки данных в Microsoft SharePoint Server. CVSS: 6.5 | Вектор атаки: сетевой.
Уязвимость в Microsoft SharePoint связана с недостаточной проверкой входных данных, что позволяет атакующему удалённо осуществлять спуфинг без аутентификации. По информации Microsoft, это даёт доступ к конфиденциальной информации и возможность ограниченного изменения данных.
Исследователи Foresiet уточняют, что проблема возникает при обработке параметров в HTTP-запросах, отвечающих за отображение ресурсов SharePoint (страницы, списки, документы). Злоумышленник может передавать некорректные данные, обходящие проверки подлинности контента, и формировать поддельные ответы от имени доверенных компонентов. Это позволяет просматривать чувствительные метаданные или изменять отображаемый контент для последующих фишинговых атак.
Статус эксплуатации уязвимости: CISA 14.04.2026 добавила уязвимость в каталог KEV со сроком исправления до 28.04.2026. По данным ShadowServer, на конец апреля в открытом доступе находятся около 1134 потенциально уязвимых серверов SharePoint.
Как защититься?
В приоритете – своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение – первоочередная мера защиты.
Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного исследований R-Vision все больше компаний стремятся использовать современные решения класса Vulnerability Management, например, R-Vision VM, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение.
Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.
Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.
Короткая ссылка
