В рамках февральского обновления безопасности Patch Tuesday 2026 года корпорация Microsoft выпустила исправления для 59 уязвимостей. Из общего числа исправленных ошибок пять классифицированы как критические, 52 имеют статус важных и две отнесены к умеренным. Особое внимание специалистов по кибербезопасности привлекли шесть уязвимостей нулевого дня, которые уже активно эксплуатируются злоумышленниками в реальных атаках. Это обновление затрагивает широкий спектр продуктов, включая Windows Shell, MSHTML, Office и компоненты удаленного доступа.
Среди обнаруженных угроз, получивших неофициальное название «Большая шестерка», выделяются три уязвимости, связанные с обходом механизмов защиты. CVE-2026-21510 с оценкой CVSS 8.8 затрагивает Windows Shell и позволяет неавторизованному атакующему обойти функции безопасности по сети. Аналогичный балл получила уязвимость CVE-2026-21513 в платформе MSHTML, также позволяющая неавторизованный обход защиты. Третья проблема, CVE-2026-21514 (CVSS 7.8), обнаружена в Microsoft Office Word; она связана с использованием ненадежных входных данных при принятии решений о безопасности и позволяет неавторизованному злоумышленнику обойти защиту локально. Обнаружение первых трех уязвимостей приписывается командам безопасности Microsoft и Google Threat Intelligence Group (GTIG).
Эксперты отрасли детально проанализировали механизмы эксплуатации этих брешей. Джек Байсер, директор по исследованию уязвимостей в Action1, пояснил касательно CVE-2026-21513, что данный сбой в MSHTML (основном компоненте рендеринга HTML) позволяет специально созданному файлу тихо обходить системные предупреждения Windows. Для запуска опасных действий пользователю достаточно сделать всего один клик. Сатнам Наранг, старший инженер-исследователь Tenable, отметил сходство между CVE-2026-21513 и CVE-2026-21514 с уязвимостью CVE-2026-21510, уточнив различие: первая использует HTML-файл, а вторая — файл Microsoft Office.
Следующая группа критических исправлений касается локального повышения привилегий и отказа в обслуживании. Уязвимость CVE-2026-21519 (CVSS 7.8) в диспетчере окон рабочего стола (Desktop Window Manager) вызвана путаницей типов данных и позволяет авторизованному атакующему повысить свои права локально. Аналогичные последствия несет CVE-2026-21533 (CVSS 7.8) в службе удаленных рабочих столов Windows из-за ненадлежащего управления привилегиями. Шестая уязвимость нулевого дня, CVE-2026-21525 (CVSS 6.2), обнаруженная в диспетчере подключений удаленного доступа Windows, связана с разыменованием нулевого указателя и позволяет вызвать отказ в обслуживании. Компания ACROS Security (сервис 0patch) сообщила, что обнаружила эту ошибку еще в декабре 2025 года при расследовании связанной проблемы.
Кев Брин, старший директор по исследованию киберугроз в Immersive, подчеркнул серьезность уязвимостей локального повышения привилегий (LPE), таких как CVE-2026-21519 и CVE-2026-21533. Для их использования злоумышленнику требуется предварительный доступ к системе через вредоносное вложение, удаленное выполнение кода (RCE) или боковое перемещение. Однако успешная эксплуатация позволяет получить права уровня SYSTEM, что дает возможность отключать инструменты безопасности, развертывать вредоносное ПО или полностью компрометировать домен.
В дополнение к основным патчам Microsoft выпустила обновления для браузера Edge, закрыв три дыры безопасности, обнаруженные после январского Patch Tuesday 2026 года. Ключевой проблемой стала CVE-2026-0391 в Edge для Android с оценкой CVSS 6.5. Эта уязвимость позволяет осуществлять спуфинг по сети посредством искажения критически важной информации в пользовательском интерфейсе. На данный момент нет подробностей о том, являются ли описанные атаки частью единой кампании кибершпионажа.
Реагируя на угрозы, Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) внесло все шесть уязвимостей нулевого дня в каталог известных эксплуатируемых уязвимостей (KEV). Федеральные гражданские агентства исполнительной власти (FCEB) обязаны применить исправления до 3 марта 2026 года. Это предписание подчеркивает высокий уровень риска, который представляют данные бреши для государственной инфраструктуры и корпоративного сектора.
Помимо исправлений, Microsoft начала процесс обновления сертификатов безопасной загрузки (Secure Boot), так как срок действия оригинальных сертификатов 2011 года истекает в конце июня 2026 года. Новые сертификаты будут внедряться через ежемесячные обновления. Если пользователи не обновят свои системы, компьютеры продолжат работать, но перейдут в «состояние сниженной безопасности» (degraded security state). Это приведет к невозможности получения будущих защит уровня загрузки и потенциальным проблемам совместимости с новыми версиями ОС, прошивок и оборудования.
В рамках инициатив Secure Future Initiative и Windows Resiliency Initiative корпорация представила новые стандарты защиты. Первая инициатива, Windows Baseline Security Mode, переводит операционную систему в режим работы с гарантиями целостности во время выполнения по умолчанию. Это обеспечит запуск только надлежащим образом подписанных приложений и драйверов, предотвращая несанкционированное вмешательство в систему на глубоком уровне.
Вторая стратегическая инициатива направлена на повышение прозрачности и согласия пользователей (User Transparency and Consent), что аналогично системе TCC в Apple macOS. Теперь Windows будет явно запрашивать разрешение, когда приложения пытаются получить доступ к чувствительным ресурсам, таким как камера, микрофон или файлы, а также при попытке установки непредусмотренного ПО. Логан Айер, заслуженный инженер Microsoft, заявил по этому поводу: «Ожидается, что приложения и ИИ-агенты также будут соответствовать более высоким стандартам прозрачности». Целью нововведений является создание четких и понятных подсказок для пользователей.
Изображение носит иллюстративный характер
Среди обнаруженных угроз, получивших неофициальное название «Большая шестерка», выделяются три уязвимости, связанные с обходом механизмов защиты. CVE-2026-21510 с оценкой CVSS 8.8 затрагивает Windows Shell и позволяет неавторизованному атакующему обойти функции безопасности по сети. Аналогичный балл получила уязвимость CVE-2026-21513 в платформе MSHTML, также позволяющая неавторизованный обход защиты. Третья проблема, CVE-2026-21514 (CVSS 7.8), обнаружена в Microsoft Office Word; она связана с использованием ненадежных входных данных при принятии решений о безопасности и позволяет неавторизованному злоумышленнику обойти защиту локально. Обнаружение первых трех уязвимостей приписывается командам безопасности Microsoft и Google Threat Intelligence Group (GTIG).
Эксперты отрасли детально проанализировали механизмы эксплуатации этих брешей. Джек Байсер, директор по исследованию уязвимостей в Action1, пояснил касательно CVE-2026-21513, что данный сбой в MSHTML (основном компоненте рендеринга HTML) позволяет специально созданному файлу тихо обходить системные предупреждения Windows. Для запуска опасных действий пользователю достаточно сделать всего один клик. Сатнам Наранг, старший инженер-исследователь Tenable, отметил сходство между CVE-2026-21513 и CVE-2026-21514 с уязвимостью CVE-2026-21510, уточнив различие: первая использует HTML-файл, а вторая — файл Microsoft Office.
Следующая группа критических исправлений касается локального повышения привилегий и отказа в обслуживании. Уязвимость CVE-2026-21519 (CVSS 7.8) в диспетчере окон рабочего стола (Desktop Window Manager) вызвана путаницей типов данных и позволяет авторизованному атакующему повысить свои права локально. Аналогичные последствия несет CVE-2026-21533 (CVSS 7.8) в службе удаленных рабочих столов Windows из-за ненадлежащего управления привилегиями. Шестая уязвимость нулевого дня, CVE-2026-21525 (CVSS 6.2), обнаруженная в диспетчере подключений удаленного доступа Windows, связана с разыменованием нулевого указателя и позволяет вызвать отказ в обслуживании. Компания ACROS Security (сервис 0patch) сообщила, что обнаружила эту ошибку еще в декабре 2025 года при расследовании связанной проблемы.
Кев Брин, старший директор по исследованию киберугроз в Immersive, подчеркнул серьезность уязвимостей локального повышения привилегий (LPE), таких как CVE-2026-21519 и CVE-2026-21533. Для их использования злоумышленнику требуется предварительный доступ к системе через вредоносное вложение, удаленное выполнение кода (RCE) или боковое перемещение. Однако успешная эксплуатация позволяет получить права уровня SYSTEM, что дает возможность отключать инструменты безопасности, развертывать вредоносное ПО или полностью компрометировать домен.
В дополнение к основным патчам Microsoft выпустила обновления для браузера Edge, закрыв три дыры безопасности, обнаруженные после январского Patch Tuesday 2026 года. Ключевой проблемой стала CVE-2026-0391 в Edge для Android с оценкой CVSS 6.5. Эта уязвимость позволяет осуществлять спуфинг по сети посредством искажения критически важной информации в пользовательском интерфейсе. На данный момент нет подробностей о том, являются ли описанные атаки частью единой кампании кибершпионажа.
Реагируя на угрозы, Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) внесло все шесть уязвимостей нулевого дня в каталог известных эксплуатируемых уязвимостей (KEV). Федеральные гражданские агентства исполнительной власти (FCEB) обязаны применить исправления до 3 марта 2026 года. Это предписание подчеркивает высокий уровень риска, который представляют данные бреши для государственной инфраструктуры и корпоративного сектора.
Помимо исправлений, Microsoft начала процесс обновления сертификатов безопасной загрузки (Secure Boot), так как срок действия оригинальных сертификатов 2011 года истекает в конце июня 2026 года. Новые сертификаты будут внедряться через ежемесячные обновления. Если пользователи не обновят свои системы, компьютеры продолжат работать, но перейдут в «состояние сниженной безопасности» (degraded security state). Это приведет к невозможности получения будущих защит уровня загрузки и потенциальным проблемам совместимости с новыми версиями ОС, прошивок и оборудования.
В рамках инициатив Secure Future Initiative и Windows Resiliency Initiative корпорация представила новые стандарты защиты. Первая инициатива, Windows Baseline Security Mode, переводит операционную систему в режим работы с гарантиями целостности во время выполнения по умолчанию. Это обеспечит запуск только надлежащим образом подписанных приложений и драйверов, предотвращая несанкционированное вмешательство в систему на глубоком уровне.
Вторая стратегическая инициатива направлена на повышение прозрачности и согласия пользователей (User Transparency and Consent), что аналогично системе TCC в Apple macOS. Теперь Windows будет явно запрашивать разрешение, когда приложения пытаются получить доступ к чувствительным ресурсам, таким как камера, микрофон или файлы, а также при попытке установки непредусмотренного ПО. Логан Айер, заслуженный инженер Microsoft, заявил по этому поводу: «Ожидается, что приложения и ИИ-агенты также будут соответствовать более высоким стандартам прозрачности». Целью нововведений является создание четких и понятных подсказок для пользователей.
