Опасная уязвимость обнаружена в компоненте Windows DNS Client, который отвечает за обработку DNS-запросов практически на каждом современном устройстве под управлением Windows. Проблема позволяет злоумышленнику удаленно выполнить произвольный код на целевой системе без какого-либо вмешательства пользователя. Это означает, что атака может быть произведена полностью незаметно для жертвы.
Уязвимость CVE-2026-41096
Согласно данным Microsoft и Национальной базы уязвимостей США (NVD), брешь получила идентификатор CVE-2026-41096 и оценку 9,8 балла по шкале CVSS (Common Vulnerability Scoring System - общая система оценки уязвимостей). Такой максимально высокий показатель присваивается лишь тем дефектам, которые сочетают удаленный доступ, низкую сложность эксплуатации и отсутствие необходимости в аутентификации.
Суть проблемы кроется в переполнении буфера на основе кучи в библиотеке dnsapi.dll. Простыми словами, когда DNS-клиент обрабатывает специально сформированный ответ от DNS-сервера, он может записать данные за пределы выделенной области памяти в куче. Эту ошибку классифицируют как CWE-122 (переполнение буфера в куче). При корректной эксплуатации злоумышленник может исказить содержимое памяти и заставить систему выполнить свой вредоносный код.
Удаленный неавторизованный атакующий может отправить на уязвимую Windows-машину такой поддельный DNS-ответ. В результате, когда DNS-клиент попытается его обработать, произойдет повреждение кучи, которое потенциально может быть использовано для запуска произвольных инструкций. Для успешной атаки необходимо, чтобы злоумышленник контролировал или мог влиять на DNS-инфраструктуру, через которую проходит трафик жертвы. Это может быть подставной DNS-сервер, отравленный резолвер (система разрешения имен), скомпрометированный маршрутизатор, враждебная сеть вайфай (Wi-Fi) или атака типа "человек посередине" (ман-ин-зе-миддл), когда злоумышленник перехватывает трафик между пользователем и легитимным сервером.
Примечательно, что любое действие, вызывающее DNS-запрос, может стать точкой входа. Это включает просмотр веб-страниц, подключение к VPN (виртуальной частной сети), работу корпоративных приложений, проверку обновлений и фоновые системные процессы. Даже простое открытие браузера способно запустить цепочку событий, которая приведет к компрометации.
Вместе с тем Microsoft на данный момент классифицирует вероятность эксплуатации как низкую (Exploitation Unlikely). Это означает, что, несмотря на критическую опасность, надежно превратить переполнение буфера в рабочий эксплойт технически сложно. На момент публикации не обнаружено ни публичных доказательств успешных атак, ни упоминаний о том, что уязвимость используется в реальных инцидентах. Однако из-за высокого потенциала ущерба эксперты рекомендуют не относиться к этой проблеме как к чисто теоретической.
Затронутыми являются все поддерживаемые версии Windows 11, а также Windows Server 2022 и Windows Server 2025. Именно в этих ОС присутствует уязвимый компонент dnsapi.dll. Microsoft выпустила исправления в рамках очередного "вторника обновлений" (Patch Tuesday) 12 мая 2026 года. Патчи доступны через накопительные обновления и каталог загрузок Microsoft.
Администраторам настоятельно рекомендуется как можно скорее установить обновления от 12 мая и перезагрузить системы. Без перезагрузки старая версия библиотеки останется в памяти, и уязвимость сохранится. В первую очередь следует обновлять устройства, работающие в ненадежных сетях: портативные компьютеры сотрудников, рабочие станции администраторов, системы, подключенные к общедоступному вайфаю, а также те серверы, которые имеют доступ к интернету и не проходят строгую фильтрацию DNS-трафика.
Для снижения риска рекомендуется ограничить DNS-трафик только доверенными резолверами и настроить мониторинг аномальных DNS-запросов. Нестандартные паттерны, такие как большое количество обращений к необычным доменам или ответы с неожиданным размером, могут указывать на попытки сканирования или эксплуатации.
Таким образом, перед нами не рядовая ошибка, а уязвимость, которая сочетает удаленную достижимость, отсутствие необходимости в аутентификации и критическое влияние на конфиденциальность, целостность и доступность данных. Даже при низкой вероятности атак в данный момент промедление с установкой обновлений может привести к серьезным последствиям, если злоумышленники найдут способ обойти технические сложности. Лучшая защита - своевременное обновление всех уязвимых систем.
Ссылки
