В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость в компонентах Microsoft Windows. Уязвимость, получившая идентификаторы BDU:2026-03039 и CVE-2026-26111, затрагивает службу маршрутизации и удаленного доступа (Routing and Remote Access Service, RRAS). По данным бюллетеня, ошибка связана с переполнением буфера в динамической памяти. Эксплуатация этой уязвимости потенциально позволяет удаленному злоумышленнику выполнить произвольный код на целевой системе, что является одной из наиболее серьезных угроз.
Детали уязвимости
Уязвимость представляет высокий риск для корпоративных инфраструктур, поскольку затрагивает широкий спектр серверных операционных систем Microsoft. В перечень уязвимого программного обеспечения входят как устаревшие, так и современные платформы. В частности, под угрозой находятся Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019, Windows Server 2022 и даже предварительная версия Windows Server 2025. Важно отметить, что уязвимы как обычные установки, так и установки в варианте Server Core (облегченная установка без графического интерфейса). Это означает, что риск распространяется на множество конфигураций, используемых в реальных условиях.
Техническая суть проблемы классифицируется по каталогу CWE как переполнение буфера в динамической памяти (CWE-122) и целочисленное переполнение (CWE-190). Подобные ошибки возникают, когда программа, в данном случае служба RRAS, не обеспечивает должной проверки размера данных, помещаемых в выделенную область памяти. Следовательно, злоумышленник может отправить специально сконструированный сетевой пакет, который вызовет запись данных за пределы отведенного буфера. В результате возникает возможность перезаписать критически важные структуры данных в памяти и перенаправить выполнение процесса на собственный вредоносный код (payload) атакующего.
Уровень опасности этой уязвимости оценивается как критический. Базовая оценка по методологии CVSS 2.0 достигает максимального значения 10.0. Более современная оценка CVSS 3.1 также указывает на высокую степень серьёзности с баллом 8.8. Вектор атаки оценивается как сетевой, что не требует физического доступа к серверу или предварительной аутентификации. Для успешной эксплуатации потенциально может потребоваться взаимодействие с пользователем, однако в контексте серверной службы это не всегда является непреодолимым препятствием для опытных атакующих.
Способ эксплуатации, указанный в бюллетене, - манипулирование структурами данных. На практике это может означать атаку, направленную на протоколы, которые обрабатывает служба RRAS. Данная служба традиционно отвечает за функциональность программного маршрутизатора, VPN и демонстрацию удаленного доступа. Соответственно, интерфейсы, связанные с обработкой сетевых пакетов для этих задач, становятся потенциальными векторами для атаки. Хотя на момент публикации данные о наличии публичного эксплойта уточняются, появление столь серьезной уязвимости часто стимулирует киберпреступные группировки к активным поискам способов ее использования.
Главная рекомендация по устранению угрозы - немедленное применение обновлений безопасности от Microsoft. Производитель уже подтвердил уязвимость и выпустил патчи. В бюллетене BDU указана ссылка на официальный ресурс Microsoft Security Response Center (MSRC), где размещено руководство по обновлению для CVE-2026-26111. Администраторам необходимо установить все последние накопительные обновления для своих версий Windows Server. Статус уязвимости в BDU обозначен как «устраненная», что подчеркивает наличие официального исправления. Однако важно понимать, что безопасность обеспечивается только после применения этого исправления на всех целевых системах.
Временной фактор играет критическую роль. Период между публикацией бюллетеня и возможным появлением активных атак может быть крайне коротким. Поэтому задержка с установкой обновлений подвергает организацию неоправданному риску. Потенциальные последствия успешного взлома через эту уязвимость крайне тяжелы. Злоумышленник может получить полный контроль над сервером. В дальнейшем это может привести к установке программ-вымогателей (ransomware), созданию точки постоянного присутствия (persistence) в сети для шпионажа или использованию сервера в качестве плацдарма для движения по внутренней инфраструктуре.
Ссылки
- https://bdu.fstec.ru/vul/2026-03039
- https://www.cve.org/CVERecord?id=CVE-2026-26111
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-26111
