В рамках январского «вторника обновлений» компания Microsoft исправила две уязвимости в драйвере ntfs.sys, который управляет файловой системой NTFS в Windows. Эти проблемы нашел специалист Positive Technologies Сергей Тарасов. Обе уязвимости давали злоумышленникам шанс захватить полный контроль над системой через эскалацию привилегий до уровня SYSTEM.
Патчи вышли для 37 версий Windows — от 10 и 11 до серверных сборок 2019, 2022 и 2025 года.
Первая уязвимость получила идентификатор CVE-2026-20840 и оценку 7,8 балла по шкале CVSS. Проблема относится к heap-based buffer overflow (переполнение буфера хипа) — класс багов, позволяющих записывать данные за пределы выделенной памяти. В данном случае ошибка была связана с недостаточно безопасной обработкой виртуальных жестких дисков.
Для атаки злоумышленнику требовался предварительный доступ к системе, например, через уже установленную малварь. После этого можно подготовить VHD-файл, заставить Windows его обработать и записать произвольные данные в защищенные области памяти.
«До устранения уязвимости открывали путь к эскалации привилегий до высшего уровня доступа в операционной системе. Получив системные права, злоумышленник был бы способен полностью контролировать захваченный компьютер: скрытно устанавливать вредоносные программы, похищать любые данные или, если бы устройство было корпоративным, использовать его как плацдарм для развития атак в локальной сети», — объясняет Тарасов.
Вторая проблема получила идентификатор CVE-2026-20922 и оценивается в 7,8 балла по шкале CVSS. Ошибка связана с отсутствием в коде драйвера проверок на корректность таблиц в разделе. Эксплуатация давала те же возможности: эскалация привилегий до уровня SYSTEM и полный контроль над компьютером.
Эксперт предупреждает, что подобные баги могут стать отправной точкой для многоступенчатых атак на организации. Тарасов подчеркнул, что оба бага требовали локального доступа к системе для эксплуатации. То есть атакующий должен был уже иметь какую-то точку входа (например, через фишинг или скомпрометированные учетные данные).
Если возможности установить патчи пока нет, в компании советуют с осторожностью работать с виртуальными жесткими дисками и не открывать VHD-файлы из непроверенных источников.
