Корпорация Microsoft опубликовала информацию об уязвимости CVE-2026-20824, классифицированной как обход функций безопасности в компоненте Windows Remote Assistance. Компания присвоила проблеме уровень важности «Important» с базовым баллом CVSS v3.1, равным 5.5. Уязвимость отнесена к категории CWE-693 (Сбой механизма защиты), что означает некорректную работу ключевых защитных проверок в определённых условиях.
Детали уязвимости
По своей природе проблема является локальной (AV:L), однако для её эксплуатации не требуются привилегии (PR:N), а сложность атаки оценивается как низкая (AC:L). Такие характеристики делают её привлекательной для злоумышленников в сценариях пост-компрометации или при угрозах со стороны инсайдеров. Успешная эксплуатация приводит к высокому риску для конфиденциальности данных (C:H), при этом целостность и доступность системы не затрагиваются (I:N/A:N). Таким образом, основная опасность связана с утечкой информации или скрытным обходом защиты, а не с полным захватом контроля над системой. На текущий момент Microsoft оценивает вероятность эксплуатации как низкую («Exploitation Less Likely»), а информация об активных атаках в естественной среде отсутствует.
Технически уязвимость возникает из-за того, как Windows Remote Assistance обрабатывает специально созданные файлы, используемые при инициации или управлении сеансами удалённой помощи. Это позволяет злоумышленнику обойти проверки безопасности, которые обычно применяются к недоверенному контенту. Воспользовавшись этим сбоем защиты, атакующий может избежать механизмов безопасности, инициируемых меткой Mark of the Web (MOTW), таких как определённые ограничения SmartScreen, Office или скриптов, обычно применяемые к файлам из интернет-зоны. Следовательно, CVE-2026-20824 пополняет ряд уязвимостей, связанных с обходом MOTW в Windows, где основная опасность заключается не в новом векторе выполнения кода, а в возможности запустить или открыть контент в более доверенном контексте, чем это предусмотрено.
Для эксплуатации требуется взаимодействие с пользователем (UI:R). Жертва должна открыть специально созданный файл, доставленный через электронную почту, мгновенное сообщение или загруженный с веб-сайта, чтобы активировать логику Remote Assistance. В сценарии с электронной почтой злоумышленник отправляет вредоносный файл и использует методы социальной инженерии, чтобы убедить пользователя его открыть. В веб-сценарии атакующий размещает файл на контролируемом или скомпрометированном сайте и заманивает пользователя, чтобы тот скачал и открыл его локально. Поскольку уязвимость локальна и не предоставляет прямого удалённого выполнения кода, она наиболее эффективна при использовании в цепочке с другими ошибками или злоумышленниками, которые уже имеют ограниченный доступ и хотят тихо обойти защиту, основанную на происхождении контента.
Microsoft подтверждает, что успешная эксплуатация позволяет обойти защиту на основе Mark of the Web, что подрывает работу нижестоящих средств безопасности и процессов, зависящих от флагов MOTW для принятия решений об агрессивности сканирования или изоляции контента. Например, это может привести к сокращению количества предупреждающих сообщений, ослаблению ограничений для макросов или скриптов, либо помочь вредоносной полезной нагрузке (malicious payload) выглядеть как доверенный локальный файл, даже если он получен из внешнего источника.
Уязвимость CVE-2026-20824 затрагивает широкий спектр поддерживаемых клиентских и серверных выпусков Windows. В список входят Windows 10 версий 21H2 и 22H2, Windows 11 версий 23H2, 24H2 и 25H2, а также Windows Server 2012, 2012 R2, 2016, 2019, 2022 и новый Windows Server 2025. Исправления были выпущены в рамках ежемесячных обновлений безопасности 13 января 2026 года. Патчи поставляются в виде накопительных или ежемесячных пакетов обновлений, таких как KB5073724 для Windows 10 21H2/22H2, KB5073455 для Windows 11 23H2, KB5074109 для Windows 11 24H2/25H2, KB5073457 для Windows Server 2022, KB5073379 для Windows Server 2025, KB5073723 для Windows 10 1809 и Windows Server 2019, а также связанные обновления для более старых серверных редакций.
Microsoft обозначила необходимые действия для пользователей, настоятельно рекомендуя администраторам развернуть обновления безопасности от 13 января 2026 года на всех затронутых сборках Windows для восстановления корректного применения политик MOTW в Remote Assistance. До полного внедрения обновлений организациям следует ужесточить фильтрацию электронной почты и веб-трафика, ограничить использование Windows Remote Assistance в средах с высоким риском, а также усилить осведомлённость пользователей о нежелательных приглашениях на удалённую помощь и вложениях неизвестных файлов.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-20824
- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20824
