Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) пополнило свой каталог известных эксплуатируемых уязвимостей (Known Exploited Vulnerabilities) шестью новыми записями, относящимися к продуктам Microsoft. Важно отметить, что внесение в этот каталог происходит только при наличии доказательств активного использования уязвимостей в реальных атаках. Следовательно, эти недостатки представляют собой актуальную и непосредственную угрозу. Все уязвимости были опубликованы 10 февраля 2026 года, а уже на следующий день CISA классифицировала их как активно эксплуатируемые, что подчеркивает высокую скорость адаптации злоумышленников.
Детали уязвимостей
В список попали уязвимости в различных компонентах операционных систем Windows и в приложении Microsoft Word. Две из них, CVE-2026-21510 и CVE-2026-21513, имеют высокий базовый балл CVSS 3.1 - 8.8. Первая связана с отказом механизма защиты в оболочке Windows (Windows Shell), а вторая - с обходом функции безопасности в рамках MSHTML. Обе позволяют неавторизованному злоумышленнику обойти защиту через сеть, что потенциально ведет к полному компрометированию системы. Например, уязвимость в оболочке затрагивает широкий спектр систем, от Windows 10 версии 1607 до новейших Windows 11 версии 26H1 и серверных редакций.
Отдельного внимания заслуживает CVE-2026-21514 - уязвимость в Microsoft Word. Ее особенность заключается в том, что программа принимает решения безопасности, полагаясь на ненадежные входные данные. Это позволяет локально обойти защиту, просто открыв специально сформированный документ. Уязвимость затрагивает актуальные версии Office, включая Microsoft 365 Apps для предприятия и LTSC-релизы 2021 и 2024 годов для Windows и macOS. Такой вектор атаки остается крайне популярным в фишинговых кампаниях.
Еще три уязвимости связаны с повышением привилегий и отказом в обслуживании. CVE-2026-21519, имеющая тип "путаница типов" (type confusion) в диспетчере окон рабочего стола, позволяет авторизованному пользователю с низкими правами повысить свои привилегии в системе. Аналогичным образом работает CVE-2026-21533 в службах удаленных рабочих столов (Remote Desktop Services). Уязвимость CVE-2026-21525, вызванная разыменованием нулевого указателя (NULL Pointer Dereference) в диспетчере подключений удаленного доступа, может привести к локальному отказу в обслуживании, что нарушит нормальную работу системы.
Факт добавления этих CVE в каталог KEV обязывает все федеральные агентства США в срочном порядке устранить угрозу. CISA устанавливает жесткий крайний срок для применения исправлений - до 26 февраля 2026 года. Хотя это требование формально относится к государственным организациям США, оно служит мощным сигналом для всего мирового ИТ-сообщества. Эксперты единогласно рекомендуют администраторам корпоративных сетей и частным пользователям как можно скорее установить все последние обновления безопасности от Microsoft.
Ситуация ярко иллюстрирует постоянную гонку между злоумышленниками и защитниками. Обнаружение и активное использование шеcritical уязвимостей практически сразу после их публикации демонстрирует высокий уровень автоматизации и оперативности современных киберпреступных групп. Специалисты по безопасности напоминают, что помимо своевременного обновления ПО, критически важны многофакторная аутентификация, принцип наименьших привилегий и постоянный мониторинг сетевой активности для обнаружения аномалий. Особенно важно быть бдительными при работе с вложениями электронной почты и документами Office из непроверенных источников.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-21510
- https://www.cve.org/CVERecord?id=CVE-2026-21513
- https://www.cve.org/CVERecord?id=CVE-2026-21514
- https://www.cve.org/CVERecord?id=CVE-2026-21519
- https://www.cve.org/CVERecord?id=CVE-2026-21525
- https://www.cve.org/CVERecord?id=CVE-2026-21533