Две критические уязвимости в Windows позволяют атакующим удалённо запустить вредоносный код

Корпорация Microsoft выпустила внеочередной пакет обновлений, закрывающий сразу две чрезвычайно опасные уязвимости в своих операционных системах. Обе проблемы получили максимальную оценку в 9,8 балла по шкале CVSS 3.1. Это означает, что атакующий может получить полный контроль над системой без какого-либо взаимодействия с пользователем.

Детали уязвимостей

Первая уязвимость, зарегистрированная в Банке данных угроз безопасности информации (BDU) под номером BDU:2026-08113, а в международной базе CVE как CVE-2026-45657, затрагивает ядро Windows. Точнее, она связана с ошибкой, известной среди специалистов как "использование после освобождения". Это классический дефект работы с памятью: программа продолжает обращаться к участку оперативной памяти, который уже был освобождён и возвращён системе. В результате злоумышленник может перезаписать этот участок собственной полезной нагрузкой и заставить ядро выполнить произвольный код.

Под удар попали все актуальные версии Windows 11, начиная с 23H2 и заканчивая предварительной сборкой 26H1, а также серверные платформы - Windows Server 2022 и 2025. Уязвимость работает на обеих архитектурах - как на 64-битных процессорах x86, так и на ARM64, которые используются в современных планшетах и ноутбуках. Важно отметить, что для эксплуатации этого дефекта атакующему не требуются никакие учётные данные или специальные права. Ему достаточно отправить специально сформированный сетевой запрос на уязвимую машину.

Вторая уязвимость, зафиксированная под номером BDU:2026-08115 (CVE-2026-47291), не менее опасна и охватывает ещё более широкий круг устройств. Она затрагивает драйвер HTTP.sys - компонент, отвечающий за обработку HTTP-запросов в Windows. Ошибка здесь связана с целочисленным переполнением. Упрощённо говоря, система неправильно рассчитывает размер данных, которые помещаются в буфер. В случае, который обнаружили исследователи, переполнение может произойти при обработке большого объёма трафика, проходящего по протоколу HTTP. Атакующий, способный инициировать поток запросов к веб-серверу или службе, использующей HTTP.sys, может спровоцировать переполнение буфера (выход данных за отведённые границы в динамической памяти) и внедрить произвольный код.

Список уязвимых версий здесь значительно шире. Он включает не только Windows 11 и Windows Server 2022/2025, но и Windows 10 всех поколений, начиная с версии 1607 и до 22H2, а также Windows Server 2012, 2012 R2, 2016, 2019. Даже устаревшие редакции, вроде "восьмёрки" на серверах, оказались под угрозой. Это объясняется тем, что код драйвера HTTP.sys менялся незначительно на протяжении многих лет, и ошибка перекочевала из версии в версию.

Обе проблемы были подтверждены производителем. Корпорация уже выпустила исправления. Ссылки на обновления опубликованы на официальном портале Microsoft Security Response Center (MSRC, центр реагирования на угрозы безопасности). Тем не менее данные о существовании готовых эксплойтов пока уточняются. Это не означает, что атакующие не могут написать их самостоятельно. Учитывая, что уязвимости имеют максимальный рейтинг опасности и не требуют авторизации, интерес злоумышленников к ним будет очень высоким.

Для специалистов по информационной безопасности ситуация осложняется тем, что HTTP.sys является одним из ключевых компонентов IIS (Internet Information Services, веб-сервер Microsoft). Любая организация, использующая IIS для публикации веб-приложений, попадает в зону риска. Атака может быть проведена удалённо, без необходимости предварительного доступа к внутренней сети. По сути, любой публичный веб-сервер на Windows становится мишенью.

Второй вектор атаки, связанный с ядром, затрагивает все хосты под управлением Windows 11. Атакующий, который смог проникнуть в корпоративную сеть, может использовать эту уязвимость для повышения привилегий и закрепления в системе, избегая обнаружения антивирусными средствами.

Таким образом, текущий патч в июне 2026 года стал одним из самых значимых за последнее время. Администраторам настоятельно рекомендуется как можно скорее установить обновления на все уязвимые системы. Промедление может привести к тому, что одна незакрытая критическая уязвимость позволит злоумышленникам перехватить контроль над целым сегментом инфраструктуры. В первую очередь необходимо обновить серверы, работающие под управлением Windows Server 2019, 2022 и 2025, а также рабочие станции с Windows 11 версий 22H2, 23H2 и 24H2.