Агентство по кибербезопасности и защите инфраструктуры США (CISA) пополнило свой каталог известных используемых в атаках уязвимостей (Known Exploited Vulnerabilities) семью новыми записями. Это означает, что все перечисленные проблемы безопасности уже применяются злоумышленниками в реальных кибератаках, и специалистам по защите необходимо срочно принять меры. В списке оказались как критически опасные бреши, возраст которых превышает пятнадцать лет, так и свежие уязвимости в антивирусном продукте Microsoft Defender.
Старые угрозы, которые не теряют актуальности
Первая группа уязвимостей, добавленных в каталог CISA, хорошо знакома специалистам по информационной безопасности. Среди них - CVE-2008-4250, затрагивающая службу Server в операционных системах Microsoft Windows. Это переполнение буфера, которое позволяет удалённо выполнить произвольный код через специально сформированный RPC-запрос. Уязвимость активно эксплуатировалась ещё в октябре 2008 года, однако до сих пор остаётся привлекательной для атакующих, особенно в инфраструктурах, где не установлены необходимые обновления.
Следующая - CVE-2009-1537, связанная с компонентом DirectShow в Microsoft DirectX. Удалённый злоумышленник может добиться выполнения кода, просто открыв скомпрометированный медиафайл QuickTime. Эта атака была замечена в дикой природе в мае 2009 года, но и сегодня она способна поразить системы, не получившие патч.
Третья уязвимость - CVE-2009-3459 в Adobe Reader и Acrobat. Это переполнение буфера в куче, которое возникает при обработке специально созданных PDF-документов. Эксплуатация ведёт к повреждению памяти и выполнению произвольного кода. В октябре 2009 года эта брешь активно использовалась для атак на пользователей через вредоносные вложения.
Четвёртый и пятый пункты (CVE-2010-0249 и CVE-2010-0806) относятся к браузеру Internet Explorer. Оба случая - это уязвимости типа "использование после освобождения" (use-after-free), которые позволяют злоумышленнику выполнить код, обращаясь к уже удалённому объекту в памяти. Первая из них была замечена во время знаменитой операции "Аврора" в декабре 2009 - январе 2010 года, когда хакерские группировки атаковали крупные технологические компании. Вторая активно применялась в марте 2010 года.
Важно понимать: хотя эти уязвимости были закрыты производителями много лет назад, их до сих пор эксплуатируют при помощи программ-вымогателей (ransomware) и других вредоносных инструментов. Причина - большое количество устройств и серверов, работающих на устаревших или непропатченных версиях Windows, а также привычка пользователей игнорировать обновления безопасности.
Две новые уязвимости в Microsoft Defender
Особое внимание привлекают две свежие записи, датированные 2026 годом, - CVE-2026-41091 и CVE-2026-45498. Обе затрагивают компонент Microsoft Defender, который встроен в современные версии Windows и отвечает за антивирусную защиту.
Первая из них (CVE-2026-41091) - это уязвимость повышения привилегий, связанная с неправильным разрешением ссылок перед доступом к файлам (link following). Иными словами, атакующий, уже имеющий доступ к системе с ограниченными правами, может обмануть Defender и получить возможность выполнять действия от имени более привилегированной учётной записи. В CVSS v3.1 этой бреши присвоен высокий уровень опасности (7,8 балла). Вектор атаки требует локального доступа и низкой сложности, что делает её относительно простой в эксплуатации.
Вторая уязвимость (CVE-2026-45498) приводит к отказу в обслуживании. Злоумышленник, не имеющий никаких особых прав, может вызвать сбой в работе Microsoft Defender, что потенциально сделает систему беззащитной перед последующими атаками. Хотя уровень опасности по CVSS определён как средний (4,0 балла), последствия могут быть серьёзными: отключение антивирусной защиты открывает путь для проникновения вредоносного кода.
Что это значит для специалистов и бизнеса
Включение этих семи уязвимостей в каталог KEV - чёткий сигнал: атакующие уже используют их, и защита требуется незамедлительно. Для организаций, особенно тех, что работают в государственном секторе или критической инфраструктуре, выполнение рекомендаций CISA является обязательным условием. Агентство требует от федеральных ведомств США установить исправления в установленные сроки, но и коммерческим компаниям стоит последовать этому примеру.
Уязвимости из далёкого прошлого наглядно демонстрируют, насколько важно своевременно обновлять программное обеспечение. Даже если кажется, что старая брешь давно неактуальна, в реальной киберпреступности она продолжает приносить доход хакерам. Новые проблемы в Microsoft Defender - напоминание, что даже защитные продукты могут стать слабым звеном. Необходимо внедрять многоуровневую защиту, регулярно проводить аудит безопасности и следить за обновлениями от вендоров.
Таким образом, каталог CISA KEV пополнился сразу семью единицами, охватывающими широкий спектр техник: от удалённого выполнения кода через старые серверные службы до локального повышения привилегий и отказа в обслуживании. Для специалистов по кибербезопасности это руководство к действию: проверить инфраструктуру, установить патчи и усилить мониторинг аномальной активности.
Ссылки
- https://www.cisa.gov/news-events/alerts/2026/05/20/cisa-adds-seven-known-exploited-vulnerabilities-catalog
- https://www.cve.org/CVERecord?id=CVE-2026-45498
- https://www.cve.org/CVERecord?id=CVE-2026-41091
- https://www.cve.org/CVERecord?id=CVE-2010-0806
- https://www.cve.org/CVERecord?id=CVE-2010-0249
- https://www.cve.org/CVERecord?id=CVE-2009-3459
- https://www.cve.org/CVERecord?id=CVE-2009-1537
- https://www.cve.org/CVERecord?id=CVE-2008-4250
