В конце мая 2026 года корпорация Microsoft выпустила внеочередное обновление безопасности, закрывающее опасную уязвимость ядра Windows. Проблема получила идентификатор CVE-2026-40369 и оценку 7,8 балла по шкале CVSS (международный стандарт оценки серьёзности уязвимостей). Эта оценка отражает высокую степень опасности, несмотря на то, что атака требует локального доступа к системе. Причина в низкой сложности эксплуатации и катастрофических последствиях - повышении привилегий до уровня SYSTEM, то есть получения полного контроля над операционной системой.
Уязвимость CVE-2026-40369
Уязвимость затрагивает ядро Windows, а именно модуль ntoskrnl.exe. Ошибка находится в функции ExpGetProcessInformation, которую можно вызвать через системный вызов NtQuerySystemInformation с указанием информационного класса 253 (SystemProcessInformationExtension). Суть проблемы - некорректная обработка указателя, предоставленного пользователем. Когда длина буфера, переданного в вызов, равна нулю, ядро пропускает проверку безопасности ProbeForWrite (механизм верификации адреса в пользовательском пространстве). В результате атакующий может передать произвольный адрес, по которому будет выполнена запись.
Механизм эксплуатации выглядит следующим образом. Вызов NtQuerySystemInformation с классом 253 запускает цикл по всем процессам в системе. Для каждого процесса ядро увеличивает три 32-битных значения (DWORD) по адресу, указанному атакующим. Эти значения представляют собой счётчик процессов, общее количество активных потоков и количество дескрипторов. Примечательно, что даже если длина буфера оказывается недостаточной, функция всё равно выполняет все записи, а уже потом возвращает код ошибки. Это превращает обычную несостыковку размеров в надёжный примитив для инкремента (увеличения) произвольных участков памяти ядра.
Другими словами, любой процесс с минимальными правами - включая процессы, запущенные в изолированной среде браузера, так называемой "песочнице" (sandbox), - может инициировать запись в ядро. Важно, что ограничения win32k lockdown (режим блокировки графической подсистемы), применяемые в браузерах Chrome, Edge и Firefox, не действуют. Причина в том, что NtQuerySystemInformation относится к базовым системным вызовам NT, а не к функциям win32k.sys. Поэтому атакующий, сумевший выполнить произвольный код внутри браузерной песочницы (например, через уязвимость в движке JavaScript), может объединить её с CVE-2026-40369 и выйти за пределы изоляции.
Исследователь Ori Nimron уже опубликовал полный набор эксплойтов для CVE-2026-40369. В открытом доступе появились доказательство концепции (proof-of-concept), полноценный инструмент для локального повышения привилегий и вариант, моделирующий условия браузерной песочницы Chrome. Обсуждения в профессиональных сообществах подтверждают, что эксплойт работает и позволяет достичь уровня SYSTEM со стопроцентной надёжностью, если дополнительно использовать утечку информации о рандомизации адресного пространства ядра (KASLR - Kernel Address Space Layout Randomization). В качестве такой утечки может выступать, например, метод бокового канала prefetch (аппаратный механизм предварительной выборки данных).
Под ударом находятся Windows 11 версий 24H2 и 25H2. Кроме того, некоторые источники указывают на потенциальную подверженность Windows Server 2025. Microsoft устранила проблему в майском накопительном обновлении безопасности (Patch Tuesday) за 2026 год. Организациям, использующим указанные версии Windows, настоятельно рекомендуется как можно скорее установить эти обновления. Специалисты предупреждают: альтернативных конфигурационных мер, полностью блокирующих атаку, не существует.
До того, как патчи будут повсеместно развёрнуты, службам информационной безопасности стоит ограничить использование браузеров с высокими рисками, отслеживать аномальные сбои ядра и настроить системы обнаружения и реагирования на конечных точках (EDR - Endpoint Detection and Response) на выявление поведенческих шаблонов, характерных для внезапного повышения привилегий. Важно понимать: даже если атакующий имеет доступ лишь к одному процессу в браузерной песочнице, цепочка эксплойтов может привести к полной компрометации системы.
Таким образом, CVE-2026-40369 представляет собой классический пример опасной уязвимости локального повышения привилегий, которая из-за своей простоты и доступности из изолированных сред становится мощным инструментом в руках злоумышленников. Реагировать необходимо незамедлительно, и главным средством защиты остаётся своевременная установка обновлений.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-40369
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-40369
- https://pwn2nimron.com/blog
