Агентство кибербезопасности Сингапура (CSA) опубликовало уведомление об уязвимости в открытом фреймворке Windows File System Proxy (WinFsp), которая при локальной эксплуатации может предоставить злоумышленнику доступ уровня SYSTEM. Разработчики WinFsp выпустили исправление в версии v2.2B1; администраторам настоятельно рекомендовано обновить компонент. Уязвимости присвоен идентификатор CVE-2026-3006.
Уязвимость CVE-2026-3006
Проблема связана с ошибкой в логике обращения к памяти, известной как состояние гонки. Состояние гонки возникает, когда поведение программы зависит от неконтролируемой последовательности параллельных операций. В драйвере WinFsp это позволяет атакующему вызвать переполнение кучи ядра - один из наиболее опасных классов уязвимостей, так как он поражает память, управляемую операционной системой. Атакующий, способный стабильно контролировать искажение содержимого кучи, может выполнить код с привилегиями ядра.
Суть эксплуатации сводится к локальному повышению привилегий. Учётная запись SYSTEM в Windows обладает максимальным набором прав: доступ к защищённым файлам, установка драйверов и служб, отключение защитных механизмов, получение конфиденциальных локальных данных, создание и изменение учётных записей. Однако для использования этой уязвимости злоумышленнику потребуется начальный доступ к системе - например, через скомпрометированную учётную запись стандартного пользователя, выполнение вредоносного кода, установку вредоносного ПО или эксплуатацию другой уязвимости. Следовательно, CVE-2026-3006 не является уязвимостью удалённого выполнения кода, а усиливает уже имеющийся вектор атаки.
WinFsp - это широко используемый открытый фреймворк, позволяющий разработчикам создавать пользовательские файловые системы, работающие в режиме пользователя. Он предоставляет компонент уровня ядра и вспомогательные библиотеки, благодаря чему программы могут подключать к Windows произвольные хранилища данных, виртуальные файловые системы и сетевые файловые сервисы через стандартные интерфейсы файловой системы. Библиотеки WinFsp нередко встраиваются в сторонние приложения, связанные с управлением хранилищами, виртуализацией файловых систем, сетевыми дисками и инструментами разработки. Именно это делает уязвимость актуальной для широкого круга организаций, особенно в корпоративной среде, где WinFsp может использоваться совместно с привилегированными службами и средствами совместного доступа к файлам.
Уязвимыми признаны версии WinFsp 2.1.25156 и более ранние. Согласно бюллетеню CSA, обновление безопасности включено в релиз WinFsp v2.2B1. Администраторам рекомендуется проверить не только системные компоненты, но и любое стороннее ПО, которое поставляется со встроенным WinFsp, - разработчики могут использовать старые версии библиотеки. Временными мерами защиты до установки патча CSA называет ограничение локального административного доступа, мониторинг подозрительных изменений в драйверах и службах, а также анализ неожиданных процессов, взаимодействующих с компонентами WinFsp.
Уязвимость была обнаружена и передана разработчику исследователем Тэем Кит Луном в рамках политики ответственного раскрытия уязвимостей CSA. Это стандартный процесс, при котором информация публикуется только после выхода исправления.
Хотя CVE-2026-3006 не является уязвимостью удалённого воздействия, её роль в реальных атаках высока. Локальное повышение привилегий часто используется в многошаговых цепочках: после получения начального доступа с низкими правами злоумышленник использует такую уязвимость, чтобы обойти границы безопасности Windows, закрепиться в системе, обойти защиту конечных точек или расширить доступ внутри корпоративной сети. Поэтому командам безопасности следует уделить первоочередное внимание обновлению WinFsp на серверах и рабочих станциях, где этот компонент установлен вместе с привилегированными сервисами, инструментами общего доступа или средствами виртуализации файловых систем.
Рынок файловых систем пользовательского пространства продолжает развиваться, и WinFsp остаётся одним из ключевых инструментов для интеграции нестандартных хранилищ в Windows. Уязвимости такого класса - напоминание о том, что любые компоненты, работающие на уровне ядра, требуют тщательного обновления. Выход патча позволяет снизить риск, но только при условии своевременного применения администраторами и разработчиками.
Ссылки
- https://www.csa.gov.sg/alerts-and-advisories/alerts/al-2026-043/
- https://github.com/winfsp/winfsp/releases/tag/v2.2B1