Агентство по кибербезопасности и защите инфраструктуры США (CISA) пополнило свой каталог активно эксплуатируемых уязвимостей двумя новыми записями. Речь идёт об уязвимости CVE-2024-1708 в продукте ConnectWise ScreenConnect, а также об уязвимости CVE-2026-32202 в механизмах защиты операционной системы Windows. Обе проблемы уже используются злоумышленниками в реальных атаках, что подтверждается данными американского регулятора.
Детали уязвимостей
Начнём с более критичной проблемы. CVE-2024-1708 затрагивает ConnectWise ScreenConnect - популярное решение для удалённого администрирования и технической поддержки. Уязвимость связана с обходом пути (path traversal) в версиях 23.9.7 и более ранних. По сути, ошибка позволяет атакующему выйти за пределы разрешённой директории и получить доступ к конфиденциальным данным или выполнить произвольный код на сервере. Разработчики уже выпустили исправление в версии 23.9.8, поэтому всем администраторам настоятельно рекомендуется обновить программное обеспечение.
Особую тревогу вызывает тот факт, что данная уязвимость уже привлекла внимание операторов программ-вымогателей. В одном из документов, на которые ссылается CISA, упоминается группировка Storm-1175, активно эксплуатирующая уязвимые веб-приложения в рамках кампаний по распространению вымогательского ПО Medusa. Такая связь указывает на то, что проблема представляет непосредственную угрозу для бизнеса: компрометация инструмента удалённого доступа может привести к полному захвату инфраструктуры.
Стоит отметить, что CVE-2024-1708 получила высокий балл 8.4 по шкале CVSS (Common Vulnerability Scoring System - стандартная система оценки критичности уязвимостей, где максимальное значение - 10). Это объясняется тем, что для успешной атаки злоумышленнику не требуются специальные привилегии, хотя и необходимо наличие зарегистрированной учётной записи в системе. Тем не менее, последствия могут быть катастрофическими: нарушитель способен получить полный контроль над сервером ScreenConnect и, как следствие, над всеми подключёнными к нему рабочими станциями.
Вторая уязвимость, CVE-2026-32202, на первый взгляд кажется менее опасной. Она связана со сбоем механизма защиты в оболочке Windows (Windows Shell). Ошибка позволяет неавторизованному злоумышленнику осуществить подмену (spoofing) по сети. Иными словами, атакующий может выдать себя за легитимного пользователя или сервис, введя жертву в заблуждение.
Однако не стоит недооценивать эту проблему. Хотя базовая оценка CVSS для неё составляет 4,3 балла (средний уровень), включение в каталог CISA говорит о том, что уязвимость реально используется. При этом важно понимать: атака требует взаимодействия с пользователем - например, жертва должна перейти по вредоносной ссылке или открыть специально подготовленный файл. Тем не менее, в сочетании с другими техниками социальной инженерии эта уязвимость может стать начальным вектором для более серьёзной компрометации.
Особенность CVE-2026-32202 заключается в том, что она затрагивает практически все актуальные версии Windows: от Windows 10 1607 до Windows 11 26H1, а также серверные редакции, начиная с Windows Server 2012 и заканчивая Windows Server 2025. Столь широкий охват делает эту уязвимость серьёзной головной болью для администраторов корпоративных сетей.
Примечательно, что Microsoft оценивает уязвимость как среднюю, в то время как Национальный институт стандартов и технологий США (NIST) в своих материалах указывает на расхождение оценок с данными вендора. Такая ситуация периодически возникает, когда производитель субъективно снижает критичность уязвимости, но практика показывает, что реальная опасность может быть выше формальных метрик.
Чем опасна комбинация этих двух уязвимостей? На первый взгляд, они затрагивают разные продукты и требуют разных условий для эксплуатации. Однако в руках опытного злоумышленника каждая из них может стать недостающим звеном в цепочке атаки. К примеру, скомпрометировав сервер ConnectWise через CVE-2024-1708, нарушитель получает доступ к целевой сети, а затем использует CVE-2026-32202 для закрепления в системе или бокового перемещения (lateral movement - техника, при которой злоумышленник перемещается от одного скомпрометированного узла к другому внутри сети).
На что обратить внимание специалистам по информационной безопасности? Прежде всего, необходимо проверить используемые версии ConnectWise ScreenConnect и при отсутствии обновления 23.9.8 провести внеплановое обновление. Что касается Windows, корпорация Microsoft на момент публикации не предоставила отдельного патча для CVE-2026-32202, поэтому следует руководствоваться общими рекомендациями вендора по снижению рисков.
В качестве временных мер защиты может подойти ограничение сетевого доступа к уязвимым компонентам, усиление политик безопасности браузеров и почтовых клиентов, а также обучение пользователей правилам фишинговой грамотности. Однако наиболее надёжным способом остаётся применение обновлений по мере их выхода.
Важно подчеркнуть, что CISA даёт организациям всего две недели на устранение этих уязвимостей - срок истекает 12 мая 2026 года. Для государственных учреждений США это обязательное требование, но и частному бизнесу стоит воспринимать этот дедлайн как серьёзный сигнал: злоумышленники активно сканируют сетевые периметры в поисках незакрытых дыр.
Таким образом, перед администраторами корпоративных сетей стоит двойная задача: срочно обновить ConnectWise ScreenConnect и внимательно отслеживать рекомендации Microsoft по исправлению механизма защиты Windows Shell. Промедление в данном случае может стоить компании остановки бизнес-процессов, утечки конфиденциальных данных и значительных финансовых потерь.
Ссылки
- http://www.cve.org/CVERecord?id=CVE-2026-32202
- http://www.cve.org/CVERecord?id=CVE-2024-1708
- https://www.cisa.gov/news-events/alerts/2026/04/28/cisa-adds-two-known-exploited-vulnerabilities-catalog
