Обновление WinFsp устраняет уязвимость, позволяющую локально повысить привилегии до SYSTEM

vulnerability

Агентство кибербезопасности Сингапура (CSA) опубликовало уведомление об уязвимости в открытом фреймворке Windows File System Proxy (WinFsp), которая при локальной эксплуатации может предоставить злоумышленнику доступ уровня SYSTEM. Разработчики WinFsp выпустили исправление в версии v2.2B1; администраторам настоятельно рекомендовано обновить компонент. Уязвимости присвоен идентификатор CVE-2026-3006.

Уязвимость  CVE-2026-3006

Проблема связана с ошибкой в логике обращения к памяти, известной как состояние гонки. Состояние гонки возникает, когда поведение программы зависит от неконтролируемой последовательности параллельных операций. В драйвере WinFsp это позволяет атакующему вызвать переполнение кучи ядра - один из наиболее опасных классов уязвимостей, так как он поражает память, управляемую операционной системой. Атакующий, способный стабильно контролировать искажение содержимого кучи, может выполнить код с привилегиями ядра.

Суть эксплуатации сводится к локальному повышению привилегий. Учётная запись SYSTEM в Windows обладает максимальным набором прав: доступ к защищённым файлам, установка драйверов и служб, отключение защитных механизмов, получение конфиденциальных локальных данных, создание и изменение учётных записей. Однако для использования этой уязвимости злоумышленнику потребуется начальный доступ к системе - например, через скомпрометированную учётную запись стандартного пользователя, выполнение вредоносного кода, установку вредоносного ПО или эксплуатацию другой уязвимости. Следовательно, CVE-2026-3006 не является уязвимостью удалённого выполнения кода, а усиливает уже имеющийся вектор атаки.

WinFsp - это широко используемый открытый фреймворк, позволяющий разработчикам создавать пользовательские файловые системы, работающие в режиме пользователя. Он предоставляет компонент уровня ядра и вспомогательные библиотеки, благодаря чему программы могут подключать к Windows произвольные хранилища данных, виртуальные файловые системы и сетевые файловые сервисы через стандартные интерфейсы файловой системы. Библиотеки WinFsp нередко встраиваются в сторонние приложения, связанные с управлением хранилищами, виртуализацией файловых систем, сетевыми дисками и инструментами разработки. Именно это делает уязвимость актуальной для широкого круга организаций, особенно в корпоративной среде, где WinFsp может использоваться совместно с привилегированными службами и средствами совместного доступа к файлам.

Уязвимыми признаны версии WinFsp 2.1.25156 и более ранние. Согласно бюллетеню CSA, обновление безопасности включено в релиз WinFsp v2.2B1. Администраторам рекомендуется проверить не только системные компоненты, но и любое стороннее ПО, которое поставляется со встроенным WinFsp, - разработчики могут использовать старые версии библиотеки. Временными мерами защиты до установки патча CSA называет ограничение локального административного доступа, мониторинг подозрительных изменений в драйверах и службах, а также анализ неожиданных процессов, взаимодействующих с компонентами WinFsp.

Уязвимость была обнаружена и передана разработчику исследователем Тэем Кит Луном в рамках политики ответственного раскрытия уязвимостей CSA. Это стандартный процесс, при котором информация публикуется только после выхода исправления.

Хотя CVE-2026-3006 не является уязвимостью удалённого воздействия, её роль в реальных атаках высока. Локальное повышение привилегий часто используется в многошаговых цепочках: после получения начального доступа с низкими правами злоумышленник использует такую уязвимость, чтобы обойти границы безопасности Windows, закрепиться в системе, обойти защиту конечных точек или расширить доступ внутри корпоративной сети. Поэтому командам безопасности следует уделить первоочередное внимание обновлению WinFsp на серверах и рабочих станциях, где этот компонент установлен вместе с привилегированными сервисами, инструментами общего доступа или средствами виртуализации файловых систем.

Рынок файловых систем пользовательского пространства продолжает развиваться, и WinFsp остаётся одним из ключевых инструментов для интеграции нестандартных хранилищ в Windows. Уязвимости такого класса - напоминание о том, что любые компоненты, работающие на уровне ядра, требуют тщательного обновления. Выход патча позволяет снизить риск, но только при условии своевременного применения администраторами и разработчиками.

Ссылки

Комментарии: 0