Разработчики WatchGuard выпустили срочное исправление для своего агента на платформе Windows. В продукте обнаружено сразу несколько уязвимостей высокой степени серьезности. Самые опасные из них дают возможность локальному злоумышленнику повысить свои привилегии до уровня самой системы. Это означает полный захват компьютера. Вдобавок выявлены проблемы, способные вызвать отказ в обслуживании. Кто находится под угрозой и что делать - разбираемся в деталях.
Детали уязвимостей
Начнем с самого тревожного. Исследователи обнаружили цепочку уязвимостей, скрытых в едином сервисе агента WatchGuard. Две из них получили идентификаторы CVE‑2026‑6787 и CVE‑2026‑6788 (CVE - это общепринятый стандарт нумерации уязвимостей). По шкале CVSS (методика оценки тяжести уязвимостей) им присвоен 8,5 балла из 10 - это высокий уровень опасности. Атакующий, имеющий на машине обычную учетную запись с минимальными правами, может последовательно применить эти дефекты. В результате он незаметно получает привилегии учетной записи NT AUTHORITY\SYSTEM. Это наивысший уровень доступа в Windows. обладая им, злоумышленник способен установить любое вредоносное программное обеспечение, изменить критические настройки системы, создать новые учетные записи администраторов или похитить конфиденциальные данные. Важно подчеркнуть: для эксплуатации не требуется сетевого доступа - достаточно иметь локального пользователя. Следовательно, опасность особенно велика в средах, где на рабочих станциях работают рядовые сотрудники с ограниченными правами.
Следующая уязвимость, CVE‑2026‑41288, связана с компонентом управления обновлениями (пэтч-менеджмент) агента WatchGuard. Ее рейтинг по CVSS - 7,3 балла. Причина кроется в некорректном назначении разрешений для определенного ресурса внутри архитектуры продукта. Аутентифицированный локальный пользователь может воспользоваться этими слабыми правами, чтобы обойти границы безопасности и опять же подняться до уровня SYSTEM. Таким образом, если на компьютере уже присутствует вредоносная программа, имеющая низкие привилегии, она способна масштабировать свои возможности до выполнения любых административных команд без каких‑либо ограничений. Это открывает дорогу для дальнейшего продвижения в корпоративной сети.
Однако опасность не ограничивается повышением привилегий. В дополнение к перечисленным проблемам WatchGuard устранил две уязвимости типа переполнения буфера на стеке. Они затрагивают службу обнаружения агентов. CVE‑2026‑41286 и CVE‑2026‑41287 получили по 7,1 балла по шкале CVSS. Примечательно, что для их эксплуатации не требуется никакой аутентификации - достаточно находиться в одной локальной сети с уязвимым устройством. Атакующий отправляет специальным образом сформированные запросы, которые переполняют буферы памяти. В результате служба агента WatchGuard полностью аварийно завершает работу. Это приводит к состоянию "отказ в обслуживании". В такой момент оконечное устройство (эндпоинт) временно остается без защиты, образуя "слепую зону": злоумышленник может действовать, не вызывая предупреждающих сигналов со стороны WatchGuard.
Все перечисленные уязвимости затрагивают версии агента WatchGuard для Windows вплоть до 1.25.02.0000 включительно. Хорошая новость в том, что разработчик оперативно отреагировал. В релизе 1.25.03.0000 все четыре проблемы полностью исправлены. К сожалению, обходных путей для смягчения рисков без установки официального исправления не существует. Поэтому администраторам систем и специалистам по кибербезопасности настоятельно рекомендуется как можно скорее обновить агенты WatchGuard до версии 1.25.03.0000.
Последствия промедления могут быть серьезными. Если злоумышленник получает SYSTEM‑уровень доступа, он способен не только скомпрометировать отдельный компьютер, но и использовать его как плацдарм для атаки на другие ресурсы предприятия. А отказ в обслуживании со стороны модуля обнаружения оставляет защиту слепой, позволяя атакующему беспрепятственно перемещаться внутри сети. Сочетание этих двух типов уязвимостей делает данный набор исправлений особенно критическим. Рекомендуется включить обновление в ближайшее плановое обслуживание или, при высоком уровне угрозы, провести внеочередную установку. При этом стоит проверить, нет ли в инфраструктуре систем, где агент WatchGuard используется на границе сети или на критических хостах - они в зоне наибольшего риска. Своевременное обновление - единственный надежный способ защитить среду от перечисленных атак.
