Корпорация Microsoft опубликовала июньский пакет обновлений безопасности, который закрывает свыше 160 уязвимостей. Из них не менее десятка имеют критический уровень опасности. Наибольшее внимание привлекли уязвимости, позволяющие удалённо выполнить код на системах под управлением Windows, Microsoft Office и серверных компонентах. Эксплуатация многих из них возможна без аутентификации, что значительно повышает риски для организаций, не установивших обновления.
Детали уязвимостей
Среди ключевых проблем - уязвимость в ядре Windows (CVE-2026-45657), получившая оценку 9,8 балла по шкале CVSS. Её причина кроется в ошибках использования после освобождения памяти и переполнения буфера стека при обработке ядром определённых сетевых пакетов TCP/IP. Неаутентифицированный злоумышленник может отправить специально сформированный запрос на уязвимый узел и добиться выполнения произвольного кода с максимальными привилегиями системы. Аналогичную степень угрозы 9,8 имеют уязвимости в HTTP.sys (CVE-2026-47291) и DHCP-клиенте (CVE-2026-44815). В первом случае переполнение целочисленного типа в HTTP-стеке приводит к повреждению памяти при обработке вредоносного HTTP-пакета. Во втором - переполнение буфера стека в службе DHCP-клиента позволяет атакующему, отправив поддельный DHCP-ответ, выполнить код на устройстве без какой-либо аутентификации.
Не менее серьёзны уязвимости в клиенте удалённого рабочего стола (CVE-2026-47289, CVSS 8.8). Проблема вновь связана с переполнением буфера стека при обработке ответных данных от вредоносного сервера. Атакующему достаточно развернуть подконтрольный RDP-сервер и убедить пользователя подключиться к нему. В момент обработки сертификата происходит срабатывание уязвимости, после чего код выполняется в контексте прав текущего пользователя. Microsoft отмечает, что под угрозой находятся все поддерживаемые версии Windows, начиная с Windows Server 2012 и заканчивая новейшими сборками Windows 11.
Особого внимания заслуживают три уязвимости в Microsoft Office (CVE-2026-45461, CVE-2026-45472, CVE-2026-45474). Все они связаны с ошибкой использования после освобождения памяти. Злоумышленник может обманом заставить пользователя открыть или даже просто предварительно просмотреть специально созданный вредоносный документ. Этого достаточно для выполнения произвольного кода. Уровень опасности каждой - 8,4 балла. Уязвимы практически все версии Office, включая Office 2016, Office 2019, Office LTSC 2021, Office LTSC 2024, а также Microsoft 365 Apps для Windows и macOS.
Ещё две уязвимости затрагивают гипервизор Hyper-V (CVE-2026-45607, CVE-2026-45641, CVSS 8.4). Они характеризуются как "побег из виртуальной машины": аутентифицированный пользователь внутри гостевой системы может отправить специальные запросы к аппаратным ресурсам виртуальной машины, что приводит к выходу за границы буфера и искажению типов. В результате злоумышленник получает возможность выполнить код на хост-сервере. Под ударом находятся гипервизоры на базе Windows Server 2016, 2019, 2022 и 2025, а также настольные Windows 10 и 11.
Уязвимости в графическом компоненте Windows (CVE-2026-44803, CVE-2026-44812, CVSS 7.8) позволяют выполнить код при открытии специально подготовленного изображения или файла. Целочисленное переполнение при обработке графических данных может быть использовано как через вредоносный сайт, так и через стандартные средства просмотра. Эти проблемы затрагивают практически все версии Windows - от Windows 10 1607 до Windows 11 26H1 и Windows Server 2025.
В официальном бюллетене Microsoft подчёркивается: "В настоящее время Microsoft выпустила исправления для всех перечисленных уязвимостей для поддерживаемых версий продуктов. Настоятельно рекомендуется установить обновления как можно скорее". Компания указывает, что в некоторых случаях обновление через Windows Update может завершиться с ошибкой из-за сетевых или системных проблем. После установки патча следует проверить его статус в разделе "Параметры" - "Центр обновления Windows" и при необходимости скачать автономный пакет с сайта каталога обновлений Microsoft.
Для организаций, эксплуатирующих уязвимые версии Windows Server, клиентов удалённого рабочего стола и пакетов Office, задержка с применением патчей означает прямой риск компрометации. Учитывая, что многие из описанных уязвимостей не требуют аутентификации и могут быть использованы удалённо, в корпоративных сетях они становятся приоритетной целью для атак. Особенно опасна комбинация проблем в ядре и в HTTP.sys: они позволяют злоумышленнику получить полный контроль над сервером без единого клика со стороны пользователя.
Рекомендуется немедленно протестировать и развернуть обновления на всех критических системах, а также провести ревизию настроек RDP и DHCP, ограничив приёмы подключений из ненадёжных сетей. Хотя Microsoft не сообщает о случаях активной эксплуатации этих уязвимостей в природе, высокий балл CVSS и доступный вектор атаки делают их появление в арсенале злоумышленников лишь вопросом времени.
Ссылки
