Кто раскрывает уязвимости Windows быстрее, чем Microsoft успевает их закрыть?

Исследователь, скрывающийся под псевдонимом Chaotic Eclipse (он же Nightmare-Eclipse), выложил в открытый доступ рабочий эксплойт под названием LegacyHive — и сделал это буквально через пару дней после июльского вторника патчей 2026 года. Уязвимость касается Windows User Profile Service (ProfSvc) — той самой службы, которая отвечает за загрузку учётных записей и профилей пользователей в системе. Работает эксплойт на всех поддерживаемых версиях Windows, включая настольные и серверные редакции, причём даже на машинах, куда уже накатили июльское обновление. То есть перед нами классический zero-day: патча нет, а публичный код есть.
Для запуска PoC нужны учётные данные обычного пользователя без прав администратора и имя третьего аккаунта — можно даже администраторского. Если всё срослось, куст реестра целевого пользователя монтируется в classes root текущей сессии. Сам Chaotic Eclipse признаёт, что публичную версию эксплойта он специально урезал, чтобы её нельзя было использовать во вред: «С помощью этой уязвимости можно загрузить любой куст реестра, но чтобы заставить PoC делать это, нужно немного мозгов». Иными словами, оригинальный вариант эксплойта не требовал дополнительных учётных данных и не ограничивался файлом usrclass.dat — это уже сильно урезанная демонстрация.
Кевин Бомонт, независимый исследователь безопасности, подтвердил через Mastodon, что эксплойт рабочий и патча к нему до сих пор нет. Уилл Дорманн, ещё один известный в отрасли исследователь, назвал находку «довольно мощным примитивом»: обычный пользователь без прав администратора получает возможность модифицировать куст реестра классов администраторского аккаунта. В качестве иллюстрации Дорманн привёл пример с привязкой файлов.txt к запуску calc.exe — это лишь демонстрация принципа, но, по его словам, «умные злоумышленники... без труда сообразят, как делать вещи поинтереснее и/или вообще без взаимодействия с пользователем».
Компания ThreatLocker разобрала PoC детальнее: он монтирует куст UsrClass.dat целевого пользователя с правом чтения в другую учётную запись, открывая доступ к данным приложений, истории Windows Explorer и криминалистически значимым артефактам. При этом в ThreatLocker подчёркивают, что немедленной эксплуатации это не даёт — хешей паролей напрямую уязвимость не раскрывает и привилегированный код через неё не запустить. Корень проблемы формулируют так: разрешение путей через Object Manager можно использовать для загрузки административных кустов реестра от имени непривилегированного пользователя.
История с LegacyHive — не разовый случай. Противостояние между Chaotic Eclipse и Microsoft тянется как минимум с апреля 2026 года, и по одному и тому же сценарию: исследователь публикует детали эксплойтов раньше, чем компания успевает выпустить патч. Причиной он называет разрыв в коммуникации с Microsoft. Последствия уже были: три уязвимости в Microsoft Defender попали под активную эксплуатацию вскоре после публичного раскрытия.
Ещё один сюжет из той же линии — уязвимость RoguePlanet, тоже найденная Chaotic Eclipse и тоже в Defender. Microsoft выпустила для неё обновления в начале июля 2026 года. Но обновления «глубокоэшелонированной защиты», призванные закрыть RoguePlanet, породили новый баг: теперь Defender при открытии файлов в определённых сценариях утекает восемью байтами данных. Microsoft подтвердила изданию The Hacker News, что расследует новый отчёт: «Microsoft известно о заявленной уязвимости, компания активно изучает достоверность и потенциальную применимость этих claims», и добавила, что «привержена расследованию проблем безопасности и обновлению затронутых продуктов для защиты клиентов как можно скорее», подчеркнув приверженность практике скоординированного раскрытия уязвимостей как отраслевому стандарту. Эта реакция появилась уже после первой публикации материала — статью обновили задним числом.
Параллельно с этими скандалами прошёл сам июльский вторник патчей — и он оказался рекордным: Microsoft закрыла 622 уязвимости за один заход. Среди них компания отдельно выделила две, которые уже эксплуатируются в реальных атаках. Первая — CVE-2026-56164 в SharePoint Server, повышение привилегий с оценкой CVSS 5.3. Причина — отсутствие проверки подлинности для критической функции. Алекс Вовк, генеральный директор и сооснователь Action1, объяснил механику: злоумышленник добирается до функциональности, которая должна требовать авторизации, отправляя специально сформированные сетевые запросы, — и получает повышение привилегий без учётных данных и без участия пользователя. Особенно уязвимы серверы SharePoint, торчащие наружу в интернет: атака удалённая, пароль не нужен.
Вторая уязвимость из списка активно эксплуатируемых — CVE-2026-56155 в Active Directory Federation Services (ADFS), тоже повышение привилегий, но с более высокой оценкой — 7.8 по CVSS. Американское агентство CISA внесло обе эти уязвимости в каталог KEV (Known Exploited Vulnerabilities) и установило федеральным гражданским ведомствам (FCEB) жёсткие сроки: CVE-2026-56164 закрыть до 17 июля 2026 года, а CVE-2026-56155 — до 28 июля.
Список активно эксплуатируемых дыр в SharePoint на этом не заканчивается. По отдельному предупреждению CISA под ударом также находятся CVE-2026-32201 и CVE-2026-45659 — вместе с уже упомянутой CVE-2026-56164. Затронуты все поддерживаемые версии локального SharePoint Server: Subscription Edition, 2019 и 2016. Цепочка атаки строится по классической схеме — сначала удалённое выполнение кода (RCE), затем кража машинных ключей IIS (Internet Information Services) и использование техник десериализации для закрепления в системе и доставки вредоносного ПО.
Отдельного упоминания заслуживает CVE-2026-55040 — критическая уязвимость обхода функции безопасности с оценкой CVSS 9.1. Она позволяет удалённому неаутентифицированному злоумышленнику обойти проверку подлинности и действовать в SharePoint от имени обычного пользователя сайта или даже администратора. Специалисты Rapid7 нашли корень проблемы в конвейере валидации JWT-токенов (JSON Web Token): атакующий может выполнять операции против целевого сайта SharePoint от имени того пользователя, за которого себя выдаёт, а саму уязвимость можно комбинировать с другими дырами в аутентифицированной части приложения.
Адам Барнетт, ведущий инженер-программист Rapid7, подвёл своеобразный итог происходящему: «После нескольких лет относительной стабильности процесс вторника патчей испытывает значительную турбулентность в 2026 году». По его оценке, тому есть две причины — экспоненциальный рост обнаружения и раскрытия уязвимостей, подстёгнутый развитием ИИ, и серия раскрытий, целенаправленно созданных для того, чтобы доставить Redmond «максимальный дискомфорт».


Новое на сайте

Ссылка