Check Point опубликовал бюллетень безопасности, посвящённый уязвимости в продукте Identity Agent. Проблема зарегистрирована под идентификатором CVE-2026-10847 и имеет статус средней степени опасности (Medium). Уязвимость затрагивает все версии Identity Agent для операционной системы Windows, предшествующие версии 81.087.0000. Разработчик уже выпустил исправление.
Уязвимость CVE-2026-10847
Суть уязвимости заключается в некорректной обработке данных в механизме сбора логов Identity Agent. При определённых условиях аутентифицированный локальный пользователь на конечной системе Windows может выполнить код с повышенными привилегиями. Это возможно, если служба Identity Agent установлена и запущена с правами учётной записи SYSTEM.
Условия эксплуатации требуют, чтобы злоумышленник уже имел локальный доступ к системе. Однако в корпоративной среде такой сценарий нередок. Например, атакующий может использовать скомпрометированные учётные данные обычного пользователя или получить доступ к терминальной сессии. После этого он может попытаться повысить свои привилегии до системного уровня, что даёт полный контроль над компьютером.
Техническая причина уязвимости - недостаточная проверка прав доступа при обработке логов. Identity Agent, работающий с привилегиями SYSTEM, собирает информацию о событиях и пользователях. В процессе взаимодействия с подсистемой логирования возникает состояние, позволяющее локальному пользователю выполнить произвольный код от имени SYSTEM. Это типичный класс уязвимостей локального повышения привилегий (Local Privilege Escalation), часто встречающийся в агентских решениях, работающих с повышенными правами.
Значимость уязвимости определяется распространённостью Identity Agent. Этот продукт входит в состав решений Check Point для контроля сетевого доступа и идентификации (Identity Awareness). Он широко применяется в корпоративных сетях, где используется аутентификация через Active Directory и политики нулевого доверия. В случае эксплуатации атакующий может не только закрепиться в системе, но и манипулировать учётными данными, отключать или обходить политики безопасности, а также перемещаться в сети с правами администратора. Учитывая, что служба Identity Agent работает в контексте SYSTEM, последствия потенциальной атаки могут быть критичными для инфраструктуры.
Check Point указывает, что уязвимость была обнаружена в ходе внутреннего аудита безопасности. Компания не сообщает о фактах эксплуатации в реальных атаках. Однако отсутствие доказательств активного использования не снижает риска. Поскольку технические детали уже раскрыты в бюллетене, злоумышленники могут разработать эксплойт для этой уязвимости. Организациям следует незамедлительно принять меры.
Решение проблемы - обновление Identity Agent до версии 81.087.0000. Это единственная версия, в которой уязвимость устранена. Для проверки текущей версии достаточно открыть приложение Identity Agent, перейти в меню "Advanced" и посмотреть значение в секции "Client Configuration". Если номер ниже 81.087.0000, требуется обновление.
В официальном бюллетене Check Point говорится: "Эта проблема была устранена в Identity Agent Full - для Windows OS версии 81.087.0000. Если вы используете версию ниже 81.087.0000, загрузите последнюю версию Identity Agent Full для Windows OS". Канадский центр кибербезопасности также рекомендует пользователям и администраторам ознакомиться с предоставленными ссылками и выполнить предложенные меры смягчения.
Важно подчеркнуть, что уязвимость затрагивает только полную версию Identity Agent для Windows (Identity Agent Full). Другие компоненты Check Point, включая сетевые шлюзы и консоли управления, не подвержены этой проблеме. Однако именно Identity Agent Full разворачивается на конечных точках пользователей, и количество таких установок в крупных корпорациях может исчисляться десятками тысяч.
С технической точки зрения эксплуатация уязвимости не требует сложного оборудования или специальных навыков. Достаточно иметь локальную учётную запись с минимальными правами и возможность запуска сценариев. Вредоносная программа или скрипт, направленные на использование этой уязвимости, могут быть доставлены через фишинг, загрузку с вредоносного сайта или через USB-накопитель. После повышения привилегий злоумышленник получает полный доступ к реестру, файловой системе и процессам системы, что открывает возможности для установки программ-шпионов, вымогателей или бэкдоров.
Уязвимость CVE-2026-10847 в Check Point Identity Agent представляет реальную угрозу для организаций, использующих этот продукт. Наличие исправления позволяет закрыть проблему до того, как она будет массово эксплуатироваться. Организациям, которые не установят обновление, следует учитывать риск компрометации конечных точек с последующим распространением атаки внутри сети. Рекомендуется включить обновление Identity Agent в список критических задач и выполнить его в кратчайшие сроки. Администраторам также стоит провести аудит систем на предмет необновлённых агентов и при необходимости ввести автоматическую доставку патчей.
Ссылки
- https://support.checkpoint.com/results/sk/sk185052
- https://www.cyber.gc.ca/en/alerts-advisories/check-point-security-advisory-av26-590
