В мире информационной безопасности вновь на первый план выходит классический, но от этого не менее опасный вектор атак - повышение привилегий в операционной системе. Исследователи компании MDSec обнародовали детали новой исправленной уязвимости в Microsoft Windows, получившей название RegPwn. Эта проблема, зарегистрированная под идентификатором CVE-2026-24291, позволяла пользователю с обычными правами получить полный контроль над системой, эксплуатируя особенности обработки реестра для встроенных функций специальных возможностей. Данный случай наглядно демонстрирует, как сложное взаимодействие между компонентами ОС для обеспечения удобства использования может создать брешь в безопасности.
Суть уязвимости: доверенные процессы и ненадёжные данные
Специальные возможности Windows, такие как экранная клавиатура или диктор, выполняют важную функцию, работая в контексте пользователя, но с повышенными правами целостности. Это необходимо для их корректной работы поверх любых приложений. Однако механизм, обеспечивающий эту функциональность, содержал критический изъян. При активации этих инструментов система создаёт определённые ключи в реестре для хранения их конфигураций. Проблема кроется в том, как эти конфигурации копируются между уровнями привилегий, особенно при переходе в так называемый безопасный рабочий стол.
Безопасный рабочий стол - это изолированная среда, которая активируется, например, при блокировке компьютера или появлении запроса контроля учётных записей. В этот момент запускаются два экземпляра системного процесса atbroker.exe: один с правами пользователя, а другой - от имени учётной записи SYSTEM, обладающей высшими привилегиями. Их задача - синхронизировать настройки специальных возможностей. Поскольку изначальный ключ реестра, откуда копируются данные, доступен для записи обычному пользователю, злоумышленник получает возможность манипулировать этим процессом.
Механика атаки: символические ссылки и ювелирная точность
Эксплуатация уязвимости RegPwn строится на комбинации двух техник. Во-первых, атакующий использует символические ссылки реестра. Это специальные объекты, перенаправляющие операции с одного ключа реестра на другой. Во-вторых, требуется невероятно точное соблюдение временного окна. Злоумышленник подменяет пользовательский ключ реестра символической ссылкой в тот краткий момент, когда процесс SYSTEM готов выполнить запись. Для создания этой задержки используется блокировка определённых системных XML-файлов.
В результате, высокопривилегированный процесс, сам того не подозревая, записывает данные не в предназначенное место, а по пути, указанному злоумышленником. Это позволяет, например, перезаписать путь к исполняемому файлу такой важной службы, как установщик Windows, и подменить его на вредоносную полезную нагрузку. После перезапуска службы код выполняется уже с правами SYSTEM, что означает полный компромисс системы. Как отмечают исследователи, данная уязвимость успешно использовалась в рамках внутренних учений красной команды с января 2025 года, что подчёркивает её практическую ценность для реальных атакующих.
Последствия и необходимые меры
Главный риск, исходящий от подобных уязвимостей повышения привилегий, - это разрушение модели изоляции процессов и прав доступа, которая является фундаментом безопасности Windows. Получив права SYSTEM, злоумышленник может отключать средства защиты, скрывать своё присутствие, красть учётные данные, включая хэши паролей, и беспрепятственно перемещаться по корпоративной сети. Это превращает локальный успех в отправную точку для масштабного инцидента.
Корпорация Microsoft выпустила исправление для этой уязвимости в рамках ежемесячных обновлений безопасности в марте 2026 года. Патч затрагивает актуальные версии Windows 10, Windows 11 и серверные редакции. Учитывая, что технические детали и концепт-код эксплойта уже опубликованы в открытом доступе на GitHub, угроза его активного использования в дикой природе становится вопросом ближайшего времени. Следовательно, для ИТ- и ИБ-команд применение этого обновления является критически важным и безотлагательным действием.
Рекомендации по защите
Помимо незамедлительной установки мартовских обновлений безопасности от Microsoft, организациям стоит пересмотреть свои базовые стратегии защиты. Во-первых, принцип минимальных привилегий должен применяться не только к пользователям, но и к приложениям и системным службам. Во-вторых, стоит рассмотреть возможность использования расширенных средств контроля целостности процессов, которые могут блокировать несанкционированные изменения критически важных системных ресурсов, таких как реестр или каталоги со службами. В-третьих, мониторинг событий безопасности должен включать в себя поиск аномальных действий, связанных с процессами специальных возможностей или созданием символических ссылок в реестре, что может указывать на попытку эксплуатации. История с RegPwn служит ещё одним напоминанием о том, что безопасность - это непрерывный процесс, в котором даже доверенные механизмы операционной системы требуют пристального внимания и своевременного обновления.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-24291
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-24291
- https://www.mdsec.co.uk/2026/03/rip-regpwn/
- https://github.com/mdsecactivebreach/RegPwn
