Исследователи Trend Micro Zero Day Initiative (ZDI) раскрыли информацию об уязвимости нулевого дня в продукте AnyDesk, которая при определённых условиях позволяет локальному злоумышленнику вызвать отказ в обслуживании системы. Проблема отслеживается под идентификатором CVE-2026-15682, ей присвоен базовый балл 4,7 по шкале CVSS v3, что соответствует среднему уровню опасности.
Узявимость CVE-2026-15682
Уязвимость затрагивает все установки AnyDesk под управлением Windows. Для её эксплуатации атакующему необходимо сначала получить возможность выполнять код на целевой системе с низким уровнем привилегий. Непосредственного доступа к конфиденциальным данным уязвимость не открывает и сама по себе не позволяет выполнить произвольный код, однако она способна нарушить доступность системы - критичный параметр в средах, где AnyDesk используется для удалённого администрирования, работы службы поддержки или управления устройствами без присмотра.
Корень проблемы кроется в функциональности "Send Support Information" (отправка сведений о поддержке). Этот механизм предназначен для сбора диагностических данных и передачи их в службу поддержки AnyDesk. Однако злоумышленник, имеющий локальный доступ с низкими привилегиями, может создать точку соединения (junction) для перенаправления операций записи, которые выполняет служба от имени привилегированного процесса.
Точки соединения Windows представляют собой точки повторной обработки (reparse points), которые перенаправляют доступ из одного каталога на другой. Если приложение или привилегированная служба следует за точкой соединения, управляемой пользователем, без достаточной проверки конечного пути, атакующий может перенаправить файловые операции за пределы целевого каталога. В случае CVE-2026-15682 такая возможность создавать произвольные файлы в непредусмотренных местах используется для создания условий отказа в обслуживании.
Для эксплуатации требуется высокая сложность атаки - это означает, что злоумышленник должен создать специфические условия в файловой системе или окружении системы. Однако после того, как атакующий получил возможность выполнять код с низкими привилегиями, взаимодействия с пользователем не требуется. Как отмечается в бюллетене ZDI, показатель сложности атаки высок, что несколько снижает практический риск, но не отменяет его полностью, особенно в корпоративных сетях, где множество сотрудников имеют локальный доступ к рабочим станциям.
Вектор CVSS - AV:L/AC:H/PR:L/UI:N/S:U/C:N/I:N/A:H - подтверждает, что уязвимость требует локального доступа, высокую сложность, низкие привилегии, не требует взаимодействия с пользователем, не затрагивает конфиденциальность и целостность, но оказывает высокое влияние на доступность.
Исследователь Джулиано Санфинс из бразильской компании SiDi (известный под псевдонимом 0x_alibabas) сообщил об уязвимости в AnyDesk через программу ZDI. Процесс раскрытия занял более года. ZDI передал отчёт команде безопасности вендора 31 марта 2025 года, после чего последовали неоднократные запросы о подтверждении получения.
Служба поддержки AnyDesk подтвердила передачу отчёта команде безопасности в сентябре 2025 года, однако в декабре того же года заявила, что проблема выходит за рамки их компетенции. 26 июня 2026 года ZDI уведомил вендора о намерении опубликовать уведомление в статусе уязвимости нулевого дня - то есть без готового исправления. На момент публикации, по данным ZDI, ни патча, ни временных мер защиты от AnyDesk не поступило.
В качестве единственной эффективной стратегии смягчения последствий в бюллетене указано ограничение взаимодействия с продуктом. Организациям рекомендуется ограничить локальный доступ к конечным точкам, на которых установлен AnyDesk, применять политику минимальных привилегий, отслеживать подозрительное создание точек соединения или точек повторной обработки, а также оценить, действительно ли функция отправки сведений о поддержке необходима в чувствительных средах.
Ситуация вокруг CVE-2026-15682 вновь поднимает вопрос о том, насколько ответственно некоторые разработчики коммерческого программного обеспечения для удалённого доступа подходят к обработке отчётов об уязвимостях. Игнорирование запросов в течение нескольких месяцев и последующий перенос ответственности на исследователя - не единичный случай в отрасли, однако он показывает, что даже при среднем балле CVSS риски для бизнеса могут оказаться существенными, особенно если атакующий уже имеет начальную точку опоры в системе. В условиях, когда AnyDesk широко применяется в корпоративных сценариях и для удалённой поддержки, любая возможность нарушить доступность сервера или рабочей станции может привести к сбоям в работе служб, потере данных в открытых сессиях и дополнительным затратам на восстановление.
Ссылки