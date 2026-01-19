В рамках январского «вторника обновлений» компания Microsoft исправила две уязвимости в драйвере ntfs.sys, который управляет файловой системой NTFS в Windows. Эти проблемы нашел специалист Positive Technologies Сергей Тарасов. Обе уязвимости давали злоумышленникам шанс захватить полный контроль над системой через эскалацию привилегий до уровня SYSTEM.

Патчи вышли для 37 версий Windows — от 10 и 11 до серверных сборок 2019, 2022 и 2025 года.

Первая уязвимость получила идентификатор CVE-2026-20840 и оценку 7,8 балла по шкале CVSS. Проблема относится к heap-based buffer overflow (переполнение буфера хипа) — класс багов, позволяющих записывать данные за пределы выделенной памяти. В данном случае ошибка была связана с недостаточно безопасной обработкой виртуальных жестких дисков.

Для атаки злоумышленнику требовался предварительный доступ к системе, например, через уже установленную малварь. После этого можно подготовить VHD-файл, заставить Windows его обработать и записать произвольные данные в защищенные области памяти.

«До устранения уязвимости открывали путь к эскалации привилегий до высшего уровня доступа в операционной системе. Получив системные права, злоумышленник был бы способен полностью контролировать захваченный компьютер: скрытно устанавливать вредоносные программы, похищать любые данные или, если бы устройство было корпоративным, использовать его как плацдарм для развития атак в локальной сети», — объясняет Тарасов.

Вторая проблема получила идентификатор CVE-2026-20922 и оценивается в 7,8 балла по шкале CVSS. Ошибка связана с отсутствием в коде драйвера проверок на корректность таблиц в разделе. Эксплуатация давала те же возможности: эскалация привилегий до уровня SYSTEM и полный контроль над компьютером.

Эксперт предупреждает, что подобные баги могут стать отправной точкой для многоступенчатых атак на организации. Тарасов подчеркнул, что оба бага требовали локального доступа к системе для эксплуатации. То есть атакующий должен был уже иметь какую-то точку входа (например, через фишинг или скомпрометированные учетные данные).

Если возможности установить патчи пока нет, в компании советуют с осторожностью работать с виртуальными жесткими дисками и не открывать VHD-файлы из непроверенных источников.