В Банке данных угроз безопасности информации (BDU) зарегистрирована новая уязвимость в системе аппаратной виртуализации Hyper-V от Microsoft. Идентификатор BDU:2026-01807 соответствует CVE-2026-21255 в общей системе нумерации. Проблема классифицируется как ошибка неправильного контроля доступа (CWE-284) и представляет собой уязвимость архитектуры. По сути, изъян в механизмах контроля доступа может позволить злоумышленнику, уже имеющему некоторый доступ к системе, обойти установленные ограничения безопасности.
Детали уязвимости
Угроза затрагивает широкий спектр операционных систем Microsoft, включая как клиентские, так и серверные редакции. В список уязвимого программного обеспечения входят Windows 10 (начиная с версии 1607), Windows 11 (включая сборки 23H2, 24H2, 25H2 и даже предрелизную 26H1), а также Windows Server 2016, 2019, 2022 и 2025. При этом уязвимы системы как на базе классической архитектуры x64, так и на ARM64. Полный перечень конкретных версий, не получивших исправление, опубликован в базе BDU.
Оценка опасности уязвимости демонстрирует существенный рост риска при переходе на современные методологии оценки. Согласно устаревшему стандарту CVSS 2.0, базовая оценка составляет 6.8, что соответствует среднему уровню опасности. Однако по актуальной шкале CVSS 3.1 тяжесть уязвимости оценивается уже в 8.8 баллов, что классифицируется как высокий уровень опасности. Ключевое отличие в оценках связано с учётом Scope (S:C) в CVSS 3.x, что указывает на возможность воздействия уязвимости за пределы исходного компонента безопасности. Вектор CVSS 3.0 (AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H) расшифровывается следующим образом: для атаки требуется локальный доступ (AV:L), низкая сложность эксплуатации (AC:L), злоумышленнику нужны привилегии обычного пользователя (PR:L), взаимодействие с пользователем не требуется (UI:N), при успешной атаке затрагиваются другие компоненты за пределами защищаемого (S:C), а последствия - полная компрометация конфиденциальности (C:H), целостности (I:H) и доступности (A:H) системы.
Эксплуатация данной уязвимости, согласно классификации, относится к нарушению авторизации. На практике это означает, что атакующий, находящийся внутри виртуальной машины, потенциально может выйти за её пределы. Теоретически возможен выход из гостевой системы (VM escape) с последующим воздействием на хост-машину или другие виртуальные машины на том же гипервизоре. Такие атаки считаются одними из наиболее критичных в среде виртуализации, поскольку ставят под удар фундаментальный принцип изоляции между гостевыми ОС.
На текущий момент информация о наличии публичного эксплойта уточняется. Однако высокая оценка по CVSS и относительно низкая сложность атаки указывают на то, что угроза является серьезной. Особенно актуальна эта проблема для корпоративных сред и дата-центров, где Hyper-V активно используется для консолидации серверных нагрузок и изоляции рабочих окружений. Компрометация гипервизора в такой инфраструктуре может привести к масштабной утечке данных или полному параличу работы.
К счастью, производитель подтвердил уязвимость и уже выпустил необходимые обновления безопасности. Статус уязвимости в BDU отмечен как «устраненная». Основной и единственный рекомендованный способ устранения риска - немедленное обновление программного обеспечения. Microsoft опубликовала все детали и патчи в своем официальном центре обновлений безопасности по ссылке, указанной в базе BDU. Системным администраторам и ответственным за информационную безопасность необходимо в приоритетном порядке проверить и обновить все системы из списка уязвимых версий.
Таким образом, несмотря на высокий потенциальный ущерб, угроза от уязвимости CVE-2026-21255 является контролируемой при своевременном применении исправлений. Данный случай в очередной раз подчеркивает критическую важность регулярного и оперативного цикла обновления, особенно для базовых инфраструктурных компонентов, таких как гипервизоры. Постоянный мониторинг источников, подобных BDU, и быстрое реагирование на выпущенные патчи остаются основными мерами защиты для организаций любого масштаба.
Ссылки
- https://bdu.fstec.ru/vul/2026-01807
- https://www.cve.org/CVERecord?id=CVE-2026-21255
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21255
