Специалисты R-Vision изучили уязвимости, обнаруженные в январе, и определили наиболее критические из них — те, что имеют высокий уровень угрозы, подтверждённые случаи использования в атаках и привлекают особое внимание экспертов по информационной безопасности. Об этом CNews рассказали в компании R-Vision.
В обзор включены следующие уязвимости: CVE‑2026‑21519 - Microsoft Desktop Window Manager; CVE‑2026‑21513 - Microsoft MSHTML; СVE-2026-21510 - Microsoft Windows Shell; CVE‑2026‑21533 - Microsoft Remote Desktop Services; СVE-2026-20841 - Microsoft Windows Notepad; СVE-2026-21514 - Microsoft Word; CVE-2026-2441 - Google Chrome.
CVE‑2026‑21519 | BDU:2026-01702: Уязвимость повышения привилегий в Desktop Window Manager (DWM)
CVSS: 7.8 | Вектор атаки: локальный. Ошибка типа confusion в Desktop Window Manager (DWM) даёт возможность локальному пользователю с ограниченными правами отправить специально созданные данные, вызвать неправильную обработку памяти и запустить код с привилегиями SYSTEM. В день публикации февральских обновлений Patch Tuesday агентство CISA внесло эту уязвимость в Каталог KEV, порекомендовав устранить её до 3 марта 2026 года.
CVE‑2026‑21513 | BDU:2026-01700: Уязвимость обхода механизма безопасности в Microsoft MSHTML CVSS: 8.8 | Вектор атаки: сетевой
Проблема в MSHTML позволяет обойти проверки Mark‑of‑the‑Web из-за некорректной обработки данных в библиотеке ieframe.dll. Злоумышленник может склонить пользователя к открытию вредоносного LNK- или HTML-файла, после чего его содержимое будет выполнено вне защищённой среды браузера.
В Microsoft отмечают, что информация об этой уязвимости была обнародована, и её активно использовали в атаках ещё до выхода исправления.
В день релиза февральского Patch Tuesday агентство CISA добавило уязвимость в Каталог KEV, указав на необходимость её устранения до 3 марта 2026 г.
СVE-2026-21510 | BDU:2026-01630: Уязвимость обхода функции безопасности в Windows Shell CVSS: 8.8 | Вектор атаки: сетевой
Уязвимость в Windows Shell позволяет обойти защитные механизмы Mark‑of‑the‑Web и SmartScreen: система ошибочно обрабатывает LNK-файлы и URL-ссылки, в результате чего вредоносный файл может быть распознан как локальный и запущен без каких-либо предупреждений. Для успешной атаки достаточно убедить пользователя перейти по такой ссылке или открыть ярлык.
Агентство CISA в день выхода февральских обновлений Patch Tuesday включило данную уязвимость в каталог KEV, подчеркнув важность её исправления до 3 марта 2026 г.
CVE‑2026‑21533 | BDU:2026-01701: Уязвимость повышения привилегий в Remote Desktop Services (RDS) CVSS: 7.8|Вектор атаки: локальный
Уязвимость в службе Remote Desktop Services (RDS) позволяет локальному пользователю с базовыми правами изменить параметры запуска TermService и добиться выполнения вредоносного файла с правами SYSTEM.
Согласно информации от CrowdStrike, данная уязвимость использовалась в атаках на различные компании, начиная как минимум с 24 декабря 2025 года. Злоумышленники, используя её, модифицировали конфигурационный ключ службы удалённых рабочих столов (RDS), что давало им возможность выполнять вредоносный код с правами SYSTEM и сохранять своё присутствие в системе. Агентство кибербезопасности CISA включило эту проблему в каталог KEV в день февральского обновления безопасности, подчеркнув необходимость её устранения до 3 марта 2026 года.
CVE-2026-20841| BDU:2026-01742: Уязвимость, приводящая к удалённому выполнению кода в приложении Windows Notepad CVSS: 7.8 | Вектор атаки: локальный
Эта уязвимость касается обновлённого блокнота (Notepad) в Windows 11, который поддерживает Markdown. Злоумышленник может внедрить в документ вредоносную ссылку на исполняемый файл или установщик; переход по такой ссылке способен привести к выполнению произвольного кода.
После установки патча угроза эксплуатации снижена, но не устранена полностью: Notepad отображает предупреждение, однако пользователь может его проигнорировать.
В открытом доступе присутствуют примеры (PoC) эксплойтов. На момент подготовки обзора подтверждённых случаев использования этой уязвимости в реальных атаках зафиксировано не было.
CVE-2026-21514 | BDU:2026-01699: Уязвимость, позволяющая обойти механизм безопасности в Microsoft Word CVSS: 7.8 | Вектор атаки: локальный
Проблема в Microsoft Word связана с неправильной обработкой OLE-объектов и позволяет запустить встроенный вредоносный код при открытии специально созданного документа. Просмотр файла в области предварительного просмотра (Preview Pane) не приводит к эксплуатации уязвимости.
Корпорация Microsoft отмечает, что информация об этой уязвимости была обнародована, и её активно использовали ещё до выхода исправления.
CISA добавила данную уязвимость в список KEV в день февральского обновления, указав на критическую важность её устранения до 3 марта 2026 года.
Производитель выпустил обновление безопасности 10 февраля 2026 года; рекомендуется установить его для всех затронутых продуктов Microsoft в кратчайшие сроки.
CVE-2026-2441 | BDU:2026-01947: Возможность выполнения произвольного кода в изолированной среде Google Chrome CVSS: 8.8 | Вектор атаки: сетевой
Критическая уязвимость в браузере Chrome вызвана ошибкой типа Use After Free в компоненте CSSFontFeatureValuesMap, который отвечает за обработку CSS-структур. При определённых манипуляциях с коллекцией браузер может обратиться к области памяти, уже освобождённой ранее, что создаёт возможность для выполнения вредоносного кода через специально сформированную веб-страницу. Для эксплуатации достаточно посетить такой сайт, от пользователя не требуется никаких дополнительных действий. Код выполняется в изолированном процессе браузера, поэтому данная уязвимость может служить одним из этапов в сложной цепочке атаки.
Разработчик подтвердил, что уязвимость эксплуатировалась в реальных условиях до выпуска патча. Открытые технические детали ограничены.
CISA включила эту уязвимость в каталог KEV в день февральского обновления, отметив необходимость её исправления до 10 марта 2026 года.
Что делать?
Прежде всего, необходимо установить последние обновления безопасности для Windows и Microsoft Office, а также обновите браузер Google Chrome до версии 145.0.7632.75 или новее. Для системного управления подобными угрозами рекомендуется применять решения из категории Vulnerability Management, которые автоматизируют процессы сканирования инфраструктуры, определения приоритетов уязвимостей и отслеживания их устранения.
Особое внимание стоит уделить уязвимостям, внесенным в каталог KEV. Для некоторых из них установлен крайний срок исправления до 3 марта 2026 года, а для CVE-2026-2441 — до 10 марта 2026 года. Регулярный мониторинг состояния ИТ-инфраструктуры и своевременное обновление программного обеспечения значительно уменьшают вероятность успешной атаки.
