В компоненте Windows, отвечающем за графические эффекты, обнаружена активно эксплуатируемая уязвимость нулевого дня. Microsoft выпустила экстренные патчи 10 февраля 2026 года для устранения критического дефекта, который позволяет злоумышленникам эскалировать привилегии до уровня SYSTEM. Уязвимость, получившая идентификатор CVE-2026-21519, затрагивает широкий спектр операционных систем, от Windows Server 2016 до актуальных сборок Windows 11.
Детали уязвимости
Проблема кроется в ядре графического движка. Desktop Window Manager (DWM, диспетчер окон рабочего стола) - это системный процесс, который отвечает за отрисовку визуальных элементов, таких как прозрачные окна, миниатюры на панели задач и эффекты Aero. В данном случае, уязвимость относится к классу CWE-843, так называемой «путанице типов» (Type Confusion). Атака строится на том, чтобы заставить программу интерпретировать данные одного типа как данные другого, несовместимого типа. Это приводит к ошибкам в работе памяти, которыми может воспользоваться злоумышленник.
Конкретно для CVE-2026-21519 такая путаница в DWM дает локальному атакующему возможность выполнить произвольный код с наивысшими привилегиями. Важно понимать, что для успешной атаки злоумышленник уже должен иметь первоначальный доступ к системе, даже с правами обычного пользователя. Однако после эксплуатации этой уязвимости его уровень доступа мгновенно повышается до системного администратора (SYSTEM). Это предоставляет полный контроль над компьютером, включая возможность устанавливать программы, изменять настройки безопасности, создавать новых пользователей и читать любые данные.
Microsoft официально подтвердила, что уязвимость уже эксплуатируется в реальных атаках, что и классифицирует её как нулевой день. Открытие дефекта приписывается Центру разведки угроз Microsoft (Microsoft Threat Intelligence Center, MSTIC). Данный факт косвенно указывает на то, что уязвимость, вероятно, использовалась в целевых атаках до момента публикации исправления. Учитывая характер уязвимости, она представляет особый интерес для сложных групп угроз (APT), которые часто комбинируют несколько эксплойтов для проникновения в сеть и горизонтального перемещения.
С технической точки зрения, вектор атаки является локальным. При этом требуемые начальные привилегии - низкие, а основное воздействие заключается в повышении привилегий (Elevation of Privilege, EoP). CVSS базовая оценка уязвимости составляет 7.8 баллов, что соответствует высокому уровню серьёзности. Хотя для эксплуатации необходимо наличие точки входа в систему, способность предоставлять полный контроль делает этот дефект критически важным звеном в цепочках атак. Например, его можно использовать после первоначального заражения через фишинговое письмо для закрепления в системе и отключения средств защиты.
Корпорация Microsoft настоятельно рекомендует немедленно установить соответствующие обновления. Для разных версий операционных систем выпущены отдельные патчи, которые можно найти по номеру статьи базы знаний (Knowledge Base, KB). В частности, для Windows 11 версии 26H1 необходимо применить обновление KB5077179, а для Windows 10 версий 21H2 и 22H2 - KB5075912. Полный список затронутых систем и соответствующих патчей опубликован в бюллетене безопасности. Поскольку уязвимость активно используется, эти обновления следует рассматривать как экстренные.
Процесс устранения угрозы должен быть трёхэтапным. Во-первых, необходимо немедленно установить соответствующий патч. Во-вторых, важно убедиться в успешной установке обновления и обязательно перезагрузить систему, так как некоторые исправления вступают в силу только после перезагрузки. В-третьих, командам безопасности рекомендуется провести мониторинг журналов событий на предмет подозрительной активности, связанной с процессом dwm.exe. Это поможет выявить возможные компрометации, которые могли произойти до установки исправления. Своевременная установка патчей остаётся самым эффективным способом защиты от подобных уязвимостей.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-21519
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21519
