Корпорация Microsoft выпустила обновления безопасности для двух настольных и четырех серверных версий Windows различной разрядности, чтобы устранить две уязвимости нулевого дня в диспетчере окон рабочего стола. Их обнаружил специалист центра экспертизы безопасности Positive Technologies Сергей Тарасов. Вендор был уведомлен об угрозах в рамках политики ответственного раскрытия информации и рекомендует пользователям как можно скорее установить исправления. Об этом CNews сообщили представители Positive Technologies.
Дефекты защиты в операционных системах семейства Windows представляют угрозу как для частных пользователей, так и для организаций любого масштаба. Решения Microsoft для персональных компьютеров, согласно статистике аналитической платформы Statcounter, занимают первое место по популярности, контролируя 63% мирового рынка в этом сегменте.
Ошибки безопасности PT-2026-40180 (CVE-2026-35419; BDU:2026-02246) и PT-2026-40155 (CVE-2026-34336; BDU:2026-02245) содержались в модуле dwmcore.dll, входящем в состав Desktop Window Manager (DWM). Этот компонент формирует для пользователя финальное изображение рабочего стола, а также всех приложений, окон, анимаций и визуальных эффектов. Уязвимости, в частности, затронули Windows 10, 11, Server 2019, Server 2022, Server 2025 — полный перечень систем указан в официальных уведомлениях разработчика.
Этим пробелам присвоен высокий и средний уровни опасности. PT-2026-40155 с оценкой 7,8 балла по шкале CVSS 3.1 относится к классу «переполнение буфера в куче» и позволяет записывать данные за пределами выделенной области памяти. При успешной эксплуатации этой уязвимости злоумышленник может нарушить работу системы или запустить вредоносный код. Уязвимость PT-2026-40180, в свою очередь, получила 5,5 балла по шкале CVSS 3.1.
Для реализации атаки на целевом устройстве потребовалось бы запустить код. Потенциальный злоумышленник мог предварительно скомпрометировать систему, обманом заставив жертву открыть подготовленное им фишинговое письмо, либо иным способом получить доступ к учетной записи с низкими привилегиями. В дальнейшем успешное использование этих недостатков позволило бы ему повысить права в ОС до максимального уровня (SYSTEM) и выполнить любой код. С этого момента атакующий получал бы полный контроль над устройством, включая возможность устанавливать вредоносные программы, изменять параметры ОС, похищать данные и отключать средства защиты.
«DWM является одним из важнейших компонентов Windows, обеспечивающим визуальное представление интерфейса. Уязвимости в его модуле позволяли повышать привилегии, даже если у злоумышленника изначально был ограниченный доступ. В первую очередь это грозит полным захватом устройства и утечкой секретной информации. При атаке на рабочий ноутбук, связанный с корпоративной сетью, хакер смог бы проникнуть в организацию и, скорее всего, начал бы перемещаться по её инфраструктуре», — отметил Сергей Тарасов, руководитель группы анализа уязвимостей экспертного центра безопасности Positive Technologies.
Для выявления атак, в которых злоумышленники могли бы использовать такие дефекты безопасности, эффективно применять системы управления уязвимостями, например MaxPatrol VM. MaxPatrol SIEM, в свою очередь, обнаруживает попытки предэксплуатации уязвимостей в инфраструктуре. MaxPatrol EPP с помощью эмулятора антивирусного ядра способен заранее находить вредоносные программы, использующие эти уязвимости, а MaxPatrol EDR выявляет угрозы на конечных устройствах под управлением более чем 25 операционных систем, включая основные версии ОС из десятки самых востребованных в мире (в том числе семейства Windows).
Специалисты Positive Technologies регулярно находят недостатки безопасности в продуктах Microsoft и помогают их устранять. Сотрудничество продолжается с 2012 года, за это время совместно было исправлено 13 уязвимостей.
