Тренды февраля: патчи вместо валентинок. Positive Technologies советует обновить Windows
Февральский дайджест трендовых уязвимостей.
Positive Technologies выпустила февральский дайджест трендовых уязвимостей и добавила в него еще две проблемы безопасности. Обе относятся к продуктам Microsoft и, как отмечают в компании, уже привлекли повышенное внимание из-за признаков эксплуатации в реальных атаках.
Первая уязвимость касается Desktop Window Manager и приводит к раскрытию информации. В базе Positive Technologies она обозначена как PT-2026-2658 и соответствует CVE-2026-20805 с оценкой CVSS 5,5. Microsoft сообщает, что уязвимость уже эксплуатируется в реальных атаках, а эксперты Trend Micro допускают, что ее могли использовать в цепочке с другими багами для развития атаки.
Сама проблема связана с утечкой конфиденциальной информации: авторизованный злоумышленник может раскрыть адрес раздела памяти пользовательского режима, связанного с ALPC-портом. Такой «кусок» данных может стать отправной точкой для обхода ASLR. Если атакующий узнает адрес памяти DWM, он заметно повышает шансы на успех следующего этапа, а при наличии другой уязвимости может собрать более стабильный эксплойт для повышения привилегий.
Для защиты пользователям рекомендуют установить обновления безопасности, опубликованные на официальном сайте Microsoft.
Вторая уязвимость из дайджеста приводит к удаленному выполнению кода и затрагивает Microsoft 365 и Microsoft Office. В базе PT она проходит как PT-2026-4775 и соответствует CVE-2026-21509 с оценкой CVSS 7,8. Microsoft предупреждает, что уязвимость уже используется в реальных атаках. По данным Positive Technologies, она затрагивает сразу несколько веток офисного пакета, включая Office 2016 и 2019, Office LTSC 2021 и 2024, а также Microsoft 365 Apps for Enterprise.
Уязвимость связана с использованием ненадежных входных данных (CWE-807) и позволяет обойти локальную функцию Object Linking and Embedding. Для эксплуатации достаточно, чтобы пользователь открыл специально подготовленный вредоносный документ Office. Если атака удается, злоумышленник получает возможность выполнить произвольный код с правами текущего пользователя, что может привести к утечке данных или нарушению работы системы.
Пользователям Office 2016 и 2019 рекомендуют установить обновления безопасности, доступные на официальном сайте Microsoft. В Office 2021 и более новых версиях обновления применяются автоматически после перезапуска приложений.