В середине июля текущего года специалисты по кибербезопасности получили тревожный сигнал. В Банк данных угроз безопасности информации (BDU) была внесена запись об опасной ошибке в компоненте операционных систем Windows. Уязвимость, получившая идентификатор BDU:2026-09725 (CVE-2026-50518), затрагивает DHCP-сервер - критически важный сетевой сервис, который автоматически раздаёт IP-адреса и другие параметры подключения всем устройствам в локальной сети.
Детали уязвимости
Почему эта новость заслуживает пристального внимания? Дело в том, что объектом атаки становится один из фундаментальных элементов инфраструктуры. DHCP-сервер работает на серверах практически каждой организации, от небольшого офиса до крупного дата-центра. Если злоумышленник получает контроль над этим сервисом, он фактически захватывает управление сетью.
Давайте разберёмся в технической стороне вопроса. В основе уязвимости лежит ошибка типа "переполнение буфера в динамической памяти", что соответствует классификации CWE-122. Поясню упрощённо: это состояние, при котором программа записывает в выделенный участок памяти больше данных, чем тот способен вместить. В результате соседние области памяти могут быть повреждены, и злоумышленник получает возможность внедрить в систему собственный вредоносный код.
Теперь о масштабах бедствия. Список уязвимых продуктов впечатляет. Под удар попали практически все актуальные серверные версии Windows, начиная с Windows Server 2012 и заканчивая недавно вышедшим Windows Server 2025. В частности, речь идёт о Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022 и Windows Server 2025. Причём уязвимы обе конфигурации: как полноценная установка, так и вариант Server Core, где отсутствует графический интерфейс.
Не обошла проблема и клиентские системы. В зоне риска оказались Windows 10 версий 1607 и 1809. Важно отметить, что уязвимость проявляется на обеих архитектурах - как 32-битной, так и 64-битной. Общий знаменатель для всех перечисленных систем - наличие работающего DHCP-сервера.
Уровень опасности, присвоенный этой уязвимости, - критический. По шкале CVSS v3.1 базовая оценка составила 9,8 балла из 10 возможных. Это означает, что для атаки не требуется никаких дополнительных условий: злоумышленнику не нужна аутентификация, не нужно взаимодействие с пользователем. Вектор атаки - сетевой, то есть нарушитель может действовать удалённо. Единственное ограничение - атакующий должен иметь доступ к сети, где работает уязвимый DHCP-сервер.
Что это означает на практике? Представьте ситуацию. Злоумышленник, находящийся внутри корпоративной сети, отправляет специально сформированный пакет на DHCP-сервер. Сервер, обрабатывая этот запрос, выходит за границы выделенной памяти. В результате атакующий получает возможность выполнить произвольный код с привилегиями самого сервера. Как правило, DHCP-сервер работает в контексте системы, поэтому захват контроля над ним равносилен полной компрометации узла.
Какие последствия может повлечь успешная атака? В первую очередь, это нарушение работы всей сети. Злоумышленник способен перенастроить раздачу IP-адресов, подменить DNS-серверы или шлюзы по умолчанию. Таким образом, весь трафик внутри сети может быть перенаправлен на подконтрольные атакующему узлы. Это открывает дорогу для перехвата данных, внедрения программ-вымогателей (ransomware) и других видов атак.
Стоит отметить, что на момент публикации информация о наличии готового эксплойта отсутствует. Однако, учитывая высокий интерес злоумышленников к уязвимостям такого класса, появление рабочего вредоносного кода - вопрос времени. Обычно после официального подтверждения уязвимости производителем и выхода патча, исследователи безопасности и злоумышленники начинают активно изучать разницу между исправленной и уязвимой версиями кода.
Microsoft уже устранила проблему. Патч доступен по адресу, указанному в уведомлении центра обновлений. Ссылка ведёт на детальное описание уязвимости, где указан номер бюллетеня и версии обновлённых файлов. Рекомендация для администраторов однозначна: необходимо как можно скорее установить обновление системы безопасности. Особенно это касается серверов, выполняющих роль DHCP, поскольку их компрометация влечёт за собой каскадный эффект для всей инфраструктуры.
С практической точки зрения, алгоритм действий таков. Во-первых, определить, какие серверы в организации выполняют функции DHCP. Во-вторых, сверить их версии с перечнем уязвимых продуктов. В-третьих, запланировать установку обновлений в ближайшее окно технического обслуживания. Учитывая, что уязвимость не требует аутентификации и не нуждается во взаимодействии с пользователем, промедление может стоить дорого.
В заключение подчеркну: данная история лишний раз напоминает о важности своевременного обновления инфраструктурного программного обеспечения. DHCP-сервер, как и DNS, часто остаётся "за кадром" при планировании мер защиты. Между тем, именно эти компоненты находятся на передовой любой сетевой атаки. Не стоит ждать появления рабочего эксплойта - исправление уже доступно, и задача специалистов по кибербезопасности - применить его до того, как это сделают злоумышленники.
Ссылки
- https://bdu.fstec.ru/vul/2026-09725
- https://www.cve.org/CVERecord?id=CVE-2026-50518
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-50518