Февральский «вторник обновлений» принес исправления для 58 уязвимостей в продуктах Microsoft, включая сразу шесть активно эксплуатируемых 0-day. Три из них уже были раскрыты публично до выхода патчей.
В список исправленных уязвимостей в этом месяце вошли пять критических багов — три из них связаны с повышением привилегий и еще два с утечкой информации.
Также нужно отметить, что помимо патчей обновления принесли новые сертификаты Secure Boot — старые от 2011 года истекают в конце июня 2026 года. Как поясняют в Microsoft, новые сертификаты будут устанавливаться постепенно, только на те машины, которые демонстрируют стабильную работу после обновлений.
Secure Boot — защитный механизм, встроенный в UEFI, который проверяет цифровые подписи загрузчиков и драйверов при старте системы. Это помогает блокировать руткиты и другую малварь, которая пытается выполниться на этапе загрузки ОС.
«После более чем 15 лет непрерывной службы оригинальные сертификаты Secure Boot подходят к концу своего запланированного жизненного цикла и начнут истекать в конце июня 2026 года», — объяснил Нуно Коста (Nuno Costa), директор по обслуживанию и доставке Windows.
Большинство ПК, выпущенных начиная с 2024 года, уже поставляются с обновленными сертификатами. Однако некоторым устройствам может потребоваться отдельное обновление прошивки от производителя — Microsoft рекомендует проверить сайты поддержки на предмет свежих версий.
Коста добавил, что обновление сертификатов представляет собой «одну из крупнейших скоординированных инициатив по поддержанию безопасности в экосистеме Windows», поскольку связано с обновлением микропрограммного обеспечения миллионов конфигураций устройств от самых разных производителей оборудования.
Что касается исправленных уязвимостей, напомним, что Microsoft относит к уязвимостям нулевого дня те проблемы, информация о которых была раскрыта публично до выхода патча, а также уязвимости, которые уже применяются в атаках. В этом месяце было устранено шесть 0-day, три из которых были раскрыты до релиза исправлений (CVE-2026-21510, CVE-2026-21514 и CVE-2026-21513).
CVE-2026-21510 — обход защитных механизмов в Windows SmartScreen и Windows Shell. Атакующие могут запустить вредоносный код без предупреждений системы, если заставят жертву открыть специально подготовленную ссылку или ярлык. По сути, это позволяет обойти защиту Mark of the Web (MoTW), которая обычно предупреждает пользователей о потенциально опасных файлах из внешних источников.
CVE-2026-21513 — еще один обход защиты, на этот раз во фреймворке MSHTML, потенциально позволяющий выполнить код, убедив жертву открыть вредоносный HTML-файл или LNK-файл. Что именно можно было обойти, и как эту проблему используют хакеры, Microsoft пока не сообщает.
CVE-2026-21514 — проблема в Microsoft Word, тоже связанная с обходом защиты. Злоумышленникам нужно отправить жертве вредоносный файл Office и убедить открыть его. Уязвимость позволяет обойти OLE-защиту в Microsoft 365 и Office, которая должна блокировать уязвимые COM/OLE-контролы. В Microsoft подчеркивают: через панель предпросмотра эксплойт не сработает.
Отметим, что в обнаружении CVE-2026-21510 и CVE-2026-21514 приняли участие специалисты Google Threat Intelligence Group (GTIG), свои собственные группы специалистов Microsoft и анонимный исследователь. Уязвимость CVE-2026-21513 также была обнаружена Microsoft и GTIG. Это позволяет предположить, что некоторые из этих уязвимостей могли использоваться одними и теми же злоумышленниками или в одних и тех же атаках. Эксперты Google часто отслеживают атаки, проводимые коммерческими поставщиками шпионского ПО, и «правительственными» APT-группировками.
CVE-2026-21519 — повышение привилегий в Desktop Window Manager. Успешная эксплуатация позволяет атакующему получить привилегии уровня SYSTEM. Никаких подробностей об использовании этого бага в атаках вновь не приводится.
CVE-2026-21525 — DoS-уязвимость в Windows Remote Access Connection Manager. Проблема связана с разыменованием нулевого указателя и позволяет злоумышленникам спровоцировать локальный отказ в обслуживании (DoS).
Эту проблему обнаружили специалисты из команды ACROS Security, разрабатывающей 0patch. Глава компании Митья Колсек (Mitja Kolsek) рассказал изданию Bleeping Computer, что в декабре 2025 года эксплоит для этой уязвимости был обнаружен в публичном репозитории малвари. Правда, неясно, как именно его применяли в атаках.
«Мы наткнулись на этот эксплоит в декабре прошлого года, когда искали эксплоит для CVE-2025-59230, — пояснил Колсек. — Оказалось, что это был 0-day, поэтому мы запатчили его и сообщили Microsoft. Мы не знаем, использовали ли его в реальных атаках, но качество комбинированного эксплоита для обеих проблем свидетельствует о профессиональной работе».
CVE-2026-21533 — повышение привилегий в Windows Remote Desktop Services. Проблема кроется в некорректном управлении привилегиями и позволяет атакующим локально повысить свои права.
Уязвимость нашли исследователи из компании CrowdStrike. Они рассказали журналистам, что эксплоит позволяет злоумышленникам добавить нового пользователя в группу администраторов.
«Эксплоит CVE-2026-21533 модифицирует ключ конфигурации службы, заменяя его на контролируемый атакующим. Это может позволить злоумышленникам повысить привилегии и добавить нового пользователя в группу администраторов, — говорят эксперты. — Хотя пока мы не связываем эту активность с конкретными целями или группировками, в ближайшее время атакующие, получившие доступ к эксплоиту, скорее всего, ускорят попытки использовать CVE-2026-21533 или продать его».
