В Банке данных угроз безопасности информации (BDU) зарегистрирована новая серьёзная уязвимость в Microsoft Defender for Endpoint для операционных систем Linux. Проблема, получившая идентификаторы BDU:2026-01790 и CVE-2026-21537, связана с ошибкой в механизме генерации кода. Эксплуатация этой уязвимости может позволить злоумышленнику, действующему удалённо, выполнить произвольный код на целевой системе. Производитель, компания Microsoft, уже подтвердил наличие проблемы и выпустил обновление.
Детали уязвимости
Уязвимость затрагивает Microsoft Defender for Endpoint для Linux версий до 1.0.9.0. Этот продукт относится к классу программных средств защиты (EDR) и предназначен для обнаружения и расследования сложных угроз. Ошибка классифицируется как «неверное управление генерацией кода» (CWE-94), что также известно как внедрение кода. Фактически, это уязвимость в коде самого защитного решения, что особенно тревожно, поскольку подобные продукты должны обеспечивать базовый уровень безопасности.
Уровень опасности уязвимости оценён как высокий. Базовый балл по шкале CVSS 2.0 составляет 8.3, а по более современной CVSS 3.1 - 8.8. Согласно вектору CVSS 3.1 (AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), для атаки достаточно сетевого соседства (Adjacent Network), не требуется никаких привилегий или взаимодействия с пользователем. Успешная эксплуатация приводит к полной компрометации конфиденциальности, целостности и доступности системы.
Основным способом эксплуатации указана инъекция. Хотя наличие готового эксплойта в публичном доступе на момент публикации записи в BDU уточняется, высокая степень опасности делает эту уязвимость привлекательной мишенью для киберпреступников. Злоумышленники могут попытаться использовать её для первоначального проникновения в корпоративную сеть, особенно если смогут достичь сегмента, где работают Linux-серверы с уязвимым защитником.
Ситуацию усугубляет тот факт, что атака направлена против агента безопасности. В случае успеха злоумышленник может не только получить контроль над системой, но и потенциально отключить или манипулировать защитными механизмами для обеспечения своего постоянного присутствия в системе (persistence). Это открывает путь для скрытой установки вредоносной полезной нагрузки (payload), например, программ-шифровальщиков (ransomware) или шпионского ПО.
Единственным надёжным способом устранения угрозы является немедленное обновление программного обеспечения. Microsoft устранила уязвимость, и пользователям необходимо обновить Microsoft Defender for Endpoint для Linux до версии 1.0.9.0 или более поздней. Все рекомендации и официальная информация доступны на портале Microsoft Security Response Center (MSRC) по ссылке, указанной в записи BDU.
Этот инцидент служит важным напоминанием для всех специалистов по информационной безопасности. Во-первых, необходимо строго соблюдать политики регулярного обновления всех компонентов инфраструктуры, включая системы защиты. Во-вторых, важно помнить, что даже решения класса EDR и антивирусные движки сами могут содержать уязвимости. Следовательно, стратегия защиты должна быть многослойной и не полагаться исключительно на один продукт.
В настоящее время уязвимость устранена. Ответственным администраторам и сотрудникам SOC настоятельно рекомендуется проверить все развёрнутые в инфраструктуре экземпляры Microsoft Defender for Endpoint на платформе Linux и применить обновление в приоритетном порядке. Своевременная установка патча является ключевым действием для предотвращения потенциальных инцидентов безопасности, связанных с этой критической проблемой.
Ссылки
- https://bdu.fstec.ru/vul/2026-01790
- https://www.cve.org/CVERecord?id=CVE-2026-21537
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21537
