Корпорация Microsoft выпустила срочные обновления безопасности для устранения активно эксплуатируемой уязвимости нулевого дня в компоненте Windows Remote Access Connection Manager (RasMan, Диспетчер удаленного доступа). Уязвимости присвоен идентификатор CVE-2026-21525, и она затрагивает широкий спектр операционных систем, включая Windows 10, Windows 11 и серверные версии с 2012 по 2025 год.
Детали уязвимости
Технически проблема классифицируется как разыменование нулевого указателя (CWE-476, Null Pointer Dereference). Простыми словами, ошибка возникает, когда программа пытается прочитать данные из несуществующего адреса памяти. Это можно сравнить с курьером, который получает посылку с пустой накладной. Не зная адреса назначения, он не может выполнить доставку и останавливает работу. Аналогично, служба RasMan при обращении к "пустому" участку памяти аварийно завершается, что приводит к отказу в обслуживании (Denial of Service, DoS).
Согласно данным Microsoft, злоумышленник, имеющий локальный доступ к системе, может использовать эту уязвимость для многократного сбоя службы RasMan. Для успешной атаки не требуются права администратора, однако необходимо войти в систему под какой-либо учетной записью. Влияние на доступность сервисов оценено как высокое, поскольку эксплуатация уязвимости может нарушить все удаленные подключения. В результате сервер может стать недоступным, а пользователи - потерять связь с критически важными корпоративными сетями.
Максимальный уровень серьезности уязвимости оценен как умеренный. Базовый балл по шкале CVSS v3 составляет 6.2, а с учетом временных факторов, включая факт активной эксплуатации, он возрастает до 5.4. Важно подчеркнуть, что уязвимость не позволяет напрямую выполнить произвольный код или повысить привилегии. Ее основная опасность заключается в возможности вызвать целенаправленный сбой службы, что может быть использовано для нарушения бизнес-процессов или отвлечения внимания групп безопасности (SOC) во время более сложной атаки.
Компания Microsoft подтвердила, что уязвимость уже эксплуатируется в реальных условиях. Это означает, что группы киберпреступников или продвинутые угрозы (APT) начали использовать ее до того, как стал доступен официальный патч. За обнаружение проблемы корпорация поблагодарила команду исследователей 0patch.
Системным администраторам настоятельно рекомендуется немедленно установить выпущенные обновления безопасности. Патчи, датированные 10 февраля 2026 года, доступны для следующих версий: Windows 11 (сборки 23H2, 24H2, 25H2, 26H1), Windows 10 (сборки 1607, 1809, 21H2, 22H2), а также для Windows Server 2012, 2016, 2019, 2022 и 2025. Обновления можно получить через службу Windows Update или центр обновления Windows Server. В корпоративных средах для распространения исправлений следует использовать стандартные инструменты управления.
Эксперты по кибербезопасности отмечают, что подобные уязвимости типа "отказ в обслуживании", особенно в ключевых сетевых компонентах, часто становятся инструментом в арсенале злоумышленников. Они могут применяться для вывода систем из строя с целью шантажа или для создания помех, маскирующих другие вредоносные действия, такие как распространение программы-вымогателя или кража данных. Своевременная установка патчей остается наиболее эффективной мерой защиты от известных угроз.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-21525
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21525
