Не верьте SmartScreen. Как хакеры научились обходить главную защиту Windows

Positive Technologies добавила в мартовский дайджест еще четыре уязвимости Microsoft, которые уже вышли за рамки обычного Patch Tuesday. Microsoft подтвердила эксплуатацию всех четырех проблем в реальных атаках, а значит речь идет не о теоретических рисках, а о рабочих инструментах для взлома.

Первая уязвимость затрагивает PT-2026-7404 и CVE-2026-21519 в Desktop Window Manager. Оценка по CVSS составляет 7,8 балла. Проблема связана с некорректной обработкой ресурсов и позволяет злоумышленнику с низкими правами поднять привилегии до уровня SYSTEM. Такой уровень доступа фактически дает полный контроль над системой. Для успешной атаки нужен первоначальный доступ к устройству: через вредоносное вложение, другую уязвимость с удаленным выполнением кода или через перемещение по внутренней сети компании.

Вторая проблема, PT-2026-7412 и CVE-2026-21533, обнаружена в службах удаленного рабочего стола Remote Desktop Services. Балл CVSS также составляет 7,8. Исследователи CrowdStrike сообщили, что эксплойт применяли против организаций в США и Канаде еще до публичного раскрытия. Недостаток связан с ошибками в управлении привилегиями. Локальный атакующий может получить SYSTEM, изменить конфигурацию RDS и добавить нового пользователя в группу администраторов. После такого захвата злоумышленник способен отключать защиту, устанавливать дополнительное вредоносное ПО, красть учетные данные и доводить атаку до полной компрометации домена.

Третья уязвимость, PT-2026-7396 и CVE-2026-21510, затрагивает Windows Shell и получила 8,8 балла по CVSS. Проблема позволяет обходить защитные механизмы SmartScreen и стандартные предупреждения Windows Shell. Для эксплуатации нужен пользователь, который откроет специально подготовленную ссылку или ярлык. После такого действия Windows может не показать привычное предупреждение и запустить опасное содержимое без лишних барьеров.

Четвертая уязвимость, PT-2026-7400 и CVE-2026-21514, найдена в Microsoft Word и тоже получила 7,8 балла. Недостаток позволяет обходить защиту, связанную с объектами OLE. Технология OLE нужна для встраивания данных из одного приложения в другое, например таблицы Excel в документ Word, с возможностью редактирования в исходной программе. В данном случае Word неверно обрабатывает ненадежные входные данные при принятии решений безопасности, из-за чего связанные с OLE компоненты могут запускаться без должной защиты.

Для атаки на Word также нужен пользовательский клик. Жертву необходимо убедить открыть подготовленный документ Office, обычно через социальную инженерию. После открытия злоумышленник может выполнить произвольный код и повлиять на конфиденциальность, целостность и доступность системы. Microsoft отдельно уточняет, что область предварительного просмотра Office для эксплуатации не подходит.

Общая картина выглядит неприятно: две уязвимости дают повышение привилегий до SYSTEM, еще две помогают запускать вредоносный код через привычные для сотрудников действия вроде открытия ссылки, ярлыка или документа. На практике такой набор удобен для многоэтапных атак, где один баг помогает проникнуть в систему, а другой закрепиться и расширить контроль.

Microsoft уже выпустила исправления для CVE-2026-21519, CVE-2026-21533, CVE-2026-21510 и CVE-2026-21514. В такой ситуации откладывать установку патчей уже опасно: эксплойты существуют, атаки идут, а окно для спокойного тестирования обновлений быстро закрывается.