В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в программном обеспечении Microsoft Devices Pricing Program. Уязвимость, получившая идентификаторы BDU:2026-03421 и CVE-2026-21536, связана с опасной функциональностью неограниченной загрузки файлов. Эксплуатация этой уязвимости позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе, что фактически означает полный контроль над ней. Производитель уже подтвердил проблему и выпустил обновления.
Детали уязвимости
Уязвимость классифицируется как CWE-434 (Unrestricted Upload of File with Dangerous Type). Суть проблемы заключается в том, что программное обеспечение для лицензирования не осуществляет должной проверки загружаемых файлов. Следовательно, злоумышленник может загрузить на сервер исполняемый вредоносный файл, а затем инициировать его запуск. Этот механизм часто используется для доставки основного вредоносного модуля (payload), такого как программы-вымогатели (ransomware) или бэкдоры для удаленного управления.
Уровень угрозы оценивается как критический по обеим основным шкалам CVSS. Базовая оценка CVSS 2.0 достигает максимального значения 10.0 по вектору AV:N/AC:L/Au:N/C:C/I:C/A:C. Это означает, что для атаки не требуется ни сетевого доступа с высокой сложностью, ни аутентификации, а последствия затрагивают полную конфиденциальность, целостность и доступность системы. В более современной метрике CVSS 3.x базовая оценка составляет 9.8 (CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), что также соответствует критическому уровню. Подобные оценки указывают на простоту эксплуатации и крайне тяжелые последствия успешной атаки.
Microsoft Devices Pricing Program - это прикладное ПО, используемое для управления лицензиями и ценами на устройства. Хотя точные версии, подверженные уязвимости, в бюллетене BDU не указаны, компания Microsoft уже внесла исправления. Уязвимость была выявлена 5 марта 2026 года и на текущий момент устранена. Эксперты рекомендуют немедленно обратиться к официальному бюллетеню Microsoft Security Response Center (MSRC) по ссылке, указанной в базе BDU, и установить все доступные обновления. Способ устранения классический - обновление программного обеспечения.
Важно отметить, что статус наличия эксплойта, то есть готового к использованию кода для атаки, на момент публикации бюллетеня уточняется. Однако критический рейтинг и простота эксплуатации через злоупотребление функционалом делают эту уязвимость крайне привлекательной для киберпреступников. Следовательно, окно для атаки может быть очень коротким после потенциальной публикации деталей уязвимости.
Данный инцидент в очередной раз подчеркивает важность своевременного применения патчей даже для, казалось бы, вспомогательного бизнес-ПО. Атаки часто нацелены не на очевидные цели, а на периферийные системы, которые могут стать точкой входа в корпоративную сеть. Установив через такую уязвимость вредоносную программу, злоумышленники могут затем перемещаться по сети горизонтально, повышать привилегии и обосновываться в системе надолго (persistence).
Таким образом, системным администраторам и специалистам по информационной безопасности в организациях, использующих Microsoft Devices Pricing Program, необходимо в приоритетном порядке проверить и обновить это программное обеспечение. Регулярный мониторинг источников, таких как BDU и база уязвимостей CVE, а также оперативное применение исправлений остаются ключевыми мерами защиты от подобных критических угроз. Компании также должны рассмотреть внедрение дополнительных мер контроля, например, сегментации сети для изоляции систем управления лицензиями.
Ссылки
- https://bdu.fstec.ru/vul/2026-03421
- https://www.cve.org/CVERecord?id=CVE-2026-21536
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21536
