Специалисты R-Vision изучили уязвимости, обнаруженные в январе 2026 года, и отобрали наиболее критические из них — те, что имеют высокий рейтинг риска, факты активного использования в атаках и привлекают особое внимание экспертов по кибербезопасности. В список попали уязвимости в программных продуктах Windows (Microsoft Office и Desktop Window Manager), а также в GNU Inetutils. Об этом CNews рассказали в компании R-Vision.
Уязвимости Windows
CVE-2026-20805 | BDU:2026-00375: Уязвимость в Microsoft Office, позволяющая обойти защитный механизм CVSS: 7.8 | Вектор атаки: локальный
Эта брешь позволяет злоумышленнику обойти технологию безопасности OLE (Object Linking and Embedding), которая защищает пользователей от небезопасных COM/OLE-объектов в Microsoft Office. На практике это означает, что атакующий способен подготовить документ, содержащий вредоносный OLE-элемент. Если пользователь откроет такой файл, это может привести к запуску зловредного кода в его системе.
Для эксплуатации требуется применение методов социальной инженерии (например, фишинга) и непосредственное открытие файла жертвой; в режиме предварительного просмотра воспользоваться уязвимостью невозможно.
По информации разработчика, данная уязвимость уже применялась в реальных кибератаках. Заплатка была выпущена в экстренном порядке 26 января 2026 года, вне обычного цикла обновлений. В тот же день CVE была внесена в каталог CISA KEV с предписанным сроком устранения до 16 февраля 2026 года. Для Office 2021 и более новых версий защита включается автоматически после перезапуска приложений, а для Office 2016 и 2019 необходимо установить обновления безопасности либо вручную внести изменения в системный реестр, следуя инструкциям вендора.
CVE-2026-20805 | BDU:2026-00375 : Уязвимость раскрытия информации в Desktop Window Manager CVSS: 5.5 | Вектор атаки: локальный
В Windows была найдена уязвимость в компоненте Desktop Windows Manager (DWM), отвечающем за отрисовку всех окон, визуальные эффекты и взаимодействие графической подсистемы с другими процессами через ALPC-порты. Её использование позволяет локальному авторизованному пользователю получить доступ к адресам памяти процесса DWM.
Если на порт DWM отправить специально сформированное ALPC-сообщение, служба по ошибке возвращает адрес раздела пользовательского режима, что фактически является указателем на адресное пространство DWM. Это даёт возможность обойти технологию ASLR (рандомизация адресного пространства), применяемую во всех современных операционных системах. ASLR необходима для защиты от эксплуатации уязвимостей, требующих точного знания смещений адресов в памяти.
Таким образом, данная CVE может применяться как элемент атаки для повышения привилегий (EoP) в комбинации с уязвимостями, связанными с управлением памятью, такими как Use-After-Free, Heap Overflow и другими.
Согласно информации от Microsoft, данная уязвимость уже применялась в реальных кибератаках, для неё опубликован рабочий эксплойт, и она внесена в каталог активно используемых уязвимостей (KEV) CISA с дедлайном на устранение до 3 февраля 2026 года. Патч безопасности был выпущен 13 января 2026 года, и его настоятельно рекомендуется немедленно установить на все подверженные риску системы.
Уязвимость в GNU Inetutils
CVE-2026-24061 | BDU:2026-00709: Уязвимость обхода проверки подлинности в telnetd CVSS: 9.8 | Вектор атаки: по сети
20 января 2026 года была выявлена брешь, позволяющая обойти аутентификацию в демоне telnetd, входящем в состав распространённого, но морально устаревшего набора сетевых утилит Inetutils.
Проблема состоит в том, что сервер telnetd запускает процесс /usr/bin/login (который обычно выполняется с привилегиями root) и передаёт ему в качестве последнего аргумента значение переменной окружения USER, полученное от клиента.
Если отправить специально подготовленное значение переменной USER, например, строку «-f root», и использовать опцию telnet(1) -a или --login для её передачи на сервер, клиент сможет автоматически войти в систему с правами суперпользователя, минуя стандартные этапы проверки подлинности, такие как запрос имени пользователя и пароля.
Пример команды для эксплуатации выглядит так: USER='-f root' telnet -a localhost
Как отмечают эксперты, эта уязвимость присутствовала в коде более десяти лет, начиная с выпуска Inetutils версии 1.9.3 от 12 мая 2015 года. Подвержены риску все версии вплоть до 2.7 включительно. Для успешной атаки необходимо, чтобы демон telnetd был запущен как служба на целевом хосте и существовала возможность подключения к нему по протоколу telnet.
Несмотря на то что telnet считается устаревшим и небезопасным протоколом для удалённого администрирования, он по-прежнему встречается в качестве активной службы на серверах и сетевых устройствах. Согласно данным Fofa, в российском сегменте интернета насчитывается почти 449,3 тысячи потенциально уязвимых хостов с запущенным telnetd.
Схожую статистику по глобальному распространению открытого telnetd также приводит проект ShadowServer.
Уязвимость активно эксплуатируется в реальных инцидентах. Специалисты Greynoise 22 января 2026 года зафиксировали множество попыток её использования с различных IP-адресов. На момент подготовки этого обзора атаки продолжаются. Кроме того, брешь была добавлена в Каталог известных эксплуатируемых уязвимостей (KEV) с крайним сроком исправления до 16 февраля 2026 года. Эксплойты находятся в открытом доступе.
Возможные негативные последствия включают полный захват контроля над хостом, развёртывание C2-инфраструктуры, а также использование сервера для перемещения внутри сети или включения в ботнет.
Для устранения угрозы рекомендуется установить последние обновления Inetutils. Также целесообразно рассмотреть возможность отключения службы telnetd, поскольку протокол telnet не обеспечивает шифрования трафика и уязвим для множества видов атак.
Как обеспечить защиту
Ключевой задачей является не только оперативное обнаружение уязвимостей, но и постоянный мониторинг состояния программного обеспечения, сервисов и элементов ИТ-инфраструктуры, а также их регулярное обновление.
Опыт и данные наших исследований подтверждают, что компаниям необходимо не просто выявлять слабые места, но и поддерживать точную, актуальную картину своей инфраструктуры. Это даёт возможность правильно определять очерёдность задач и управлять процессом их закрытия. Для этих целей применяются решения по управлению уязвимостями (Vulnerability Management), которые обеспечивают непрерывный цикл работы — от поиска до подтверждения устранения.
Процедура становится значительно удобнее и эффективнее, если в подобную платформу интегрирован встроенный сканер: отпадает необходимость в подключении сторонних инструментов, информация об обнаруженных проблемах сразу отображается в общем интерфейсе, а плановые проверки выполняются автоматически.
Подобная стратегия позволяет не только оперативно отвечать на возникающие угрозы, но и создавать стабильную, отлаженную систему работы с уязвимостями, что приобретает особую важность в условиях постоянного появления новых критических угроз.
