Исследователи обнаружили критическую уязвимость в одной из самых востребованных системных утилит — Rufus (CVE-2026-23988). Программа, которой миллионы пользователей доверяют создание загрузочных носителей, оказалась уязвима к атакам, позволяющим получить права администратора.
Уязвимость классифицируется как серьёзная брешь в безопасности, позволяющая непривилегированному пользователю (или вредоносному ПО с низкими правами) выполнить произвольный код с максимальными системными привилегиями. Несмотря на то что для эксплуатации хакеру необходимо уже находиться внутри системы, последствия успешной атаки могут быть разрушительными: от полной кражи данных до внедрения глубоко скрытого вредоносного ПО на уровне загрузчика.
«Миллионы профессионалов и простых пользователей ежедневно запускают утилиту rufus, чтобы создать загрузочный диск, карту памяти, флешку или что-нибудь подобное. А если это какой-то энтузиаст умного дома или всяких кастомных гаджетов, то это утилита буквально лежит на рабочем столе», — отметил руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.
Эксперт подчеркнул, что обнаруженная уязвимость в этой утилите с одной стороны крайне разрушительна и имеет высокий рейтинг, потому что фактически при определённых условиях позволяет непривилегированному пользователю запустить любой произвольный код с правами администратора, но с другой стороны довольно непросто эту уязвимость проэксплуатировать, не находясь уже в атакуемой системе с каким-то базовыми правами.
«В любом случае, утилиту необходимо обновить, причём даже если вы используете какое-то решение по автоматическому обновлению, то, скорее всего, это не произойдёт, потому что подобные утилиты зачастую скачиваются в портативном формате и не устанавливаются в систему как обычное приложение. Опасность таких утилит как раз в том, что они могут стать фактически воротами в вашу систему, хотя сама утилита может быть весьма безобидной. Выявить что-то подозрительное могут решения анализа поведенческой аналитики вроде Ankey ASAP, но для этого они должны быть установлены и настроены, ретроспективно эта история не работает», — резюмировал Сергей Полунин.
