Аналитики R-Vision проанализировали уязвимости, обнаруженные в марте, и включили в дайджест те, что представляют наибольший практический интерес по уровню риска, подтверждённой эксплуатации и актуальности для специалистов по информационной безопасности. Об этом CNews сообщили представители R-Vision.
В дайджест включены: CVE?2026?25187 - Windows Winlogon; CVE-2026-23669 - Windows Print Spooler; CVE-2026-24291 - Windows Accessibility Infrastructure; CVE-2026-3888 - Snapd; BDU:2026-02404 - PHP.
CVE?2026?25187 | BDU:2026-03036: Уязвимость повышения привилегий в Windows Winlogon
CVSS: 7.8 | Вектор атаки: локальный
Уязвимость повышения привилегий в системном процессе Windows Winlogon (winlogon.exe), отвечающем за управление аутентификацией пользователей, а также безопасный вход и выход из системы.
При выполнении файловых операций процесс winlogon.exe не проверяет, является ли целевой путь символической ссылкой или точкой соединения, что позволяет локальному пользователю с низкими привилегиями перенаправить операцию привилегированного процесса на защищённый системный ресурс. Атакующий может перезаписать или модифицировать критические системные файлы, получив повышение привилегий до уровня SYSTEM. Уязвимость обнаружена исследователем Джеймсом Форшоу из команды Google Project Zero.
На момент анализа подтвержденных случаев эксплуатации в реальных атаках не зафиксировано. Microsoft присвоила уязвимости оценку Exploitation More Likely по индексу эксплуатируемости, что указывает на повышенную вероятность появления эксплойта.
Вендор 10 марта 2026 г. выпустил обновление безопасности, рекомендуется как можно скорее установить обновление на все затронутые версии Windows.
CVE-2026-23669 | BDU:2026-03000: Уязвимость удалённого выполнения произвольного кода в Windows Print Spooler
CVSS: 8.8 | Вектор атаки: сетевой
Уязвимость удалённого выполнения кода в компонентах службы диспетчера печати Windows (процесс spoolsv.exe). При обработке специально сформированных сетевых сообщений к RPC-эндпоинтам службы происходит некорректное освобождение объекта в памяти с последующим использованием ссылки на него (use-after-free, CWE-416). Аутентифицированный атакующий, контролируя момент выделения и освобождения памяти, может добиться выполнения произвольного кода в процессе службы. Поскольку Print Spooler выполняется в контексте NT AUTHORITY\SYSTEM, успешная эксплуатация предоставляет злоумышленнику максимальные привилегии. Для атаки достаточно учётной записи с низкими правами, например, любой доменной учётной записи, а сама служба включена по умолчанию на всех версиях Windows.
Дастин Чайлдс из Trend Micro Zero Day Initiative отметил, что уязвимость эксплуатируется аналогично PrintNightmare (CVE-2021-34527) и рекомендовал приоритетную установку патча. На момент анализа подтвержденных случаев эксплуатации не зафиксировано, публикаций PoC-эксплойтов в открытом доступе не обнаружено.
10 марта 2026 года вендор выпустил обновление безопасности — рекомендуется установить на все затронутые версии Windows. Дополнительно стоит ограничить доступ к службе печати из недоверенных сетей и придерживаться принципа минимальных привилегий.
CVE-2026-24291 | BDU:2026-03020: Уязвимость повышения привилегий в Windows Accessibility Infrastructure (ATBroker.exe)
CVSS: 7.8 | Вектор атаки: локальный
Уязвимость в компоненте ATBroker.exe, отвечающем за специальные возможности Windows. Активировать эти функции может стандартная учетная запись. Конфигурации альтернативных возможностей хранятся в ключах реестра, доступных для изменения непривилегированным пользователям.
Исследователи MDSec обнаружили, что при запуске защищённого рабочего стола (Secure Desktop), например заблокировав рабочий стол, создаётся второй экземпляр ATBroker.exe с привилегиями SYSTEM, тогда как исходный процесс работает от имени пользователя. Синхронизация ключей реестра между процессами позволяет через манипуляции с символическими ссылками и оппортунистическими блокировками перезаписать произвольный ключ реестра в системе.
Это позволяет выполнить код с правами SYSTEM, например, изменив путь к исполняемому файлу службы Windows Installer, которая запускается обычным пользователем, но работает с привилегиями SYSTEM.
Подтвержденных случаев в реальных атаках не зафиксировано, имеется публичное доказательство концепции (PoC).
CVE-2026-3888 | BDU:2026-03419: Уязвимость повышения привилегий в snapd (Ubuntu и Debian)
CVSS: 7.8 | Вектор атаки: локальный
Уязвимость связана с snap-confine и systemd-tmpfiles.
Для эксплуатации атакующему необходим минимальный доступ к системе. Атакующий должен выжидать и наблюдать за /tmp до очистки временных файлов Snap-приложений при помощи systemd-tmpfiles.
Из-за отсутствия проверки целостности директории Snap-приложения в snap-confine атакующий способен пересоздать удаленную директорию. При помощи Snapd-утилиты атакующий запускает вредоносные файлы, помещенные в созданную директорию. Так как snap-confine запускается с setuid root, вредоносные действия выполняются с root-правами.
Примечание: по умолчанию ко всем файлам и каталогам, хранящимся в /tmp директории, systemd-tmpfiles применяет концепцию «старения». Срок «старения» в Ubuntu 24.04 LTS и младше — 30 дней бездействия, в 25.10 и старше — 10 дней. В Debian 12 и 13 - 10 дней.
Статус эксплуатации уязвимости: подтверждённых случаев эксплуатации не зафиксировано. В публичном доступе есть PoC.
Рекомендации по устранению: обновление для Ubuntu от 17 марта 2026; Debian - 20 марта 2026.
BDU:2026-02404: Уязвимость нарушения изоляции песочницы в PHP
CVSS: 9.3 | Вектор атаки: локальный
Уязвимость типа Use After Free позволяет обойти механизм disable_functions в PHP через объект DateInterval и выполнять команды ОС. Механизм disable_functions в php.ini ограничивает опасные функции, такие как exec() или system(), предотвращая выполнение команд на хосте. Для эксплуатации требуется точка входа для передачи PHP-кода. Успешная атака позволяет запускать вредоносные скрипты и обратные оболочки (reverse shell), несмотря на ограничения disable_functions.
По данным Shodan в России около 32 тыс. ресурсов на PHP, включая Wordpress. Уязвимы версии PHP 8.2.x–8.5.x на Unix-системах. Исправления от вендора и идентификатора CVE нет, уязвимость занесена в БДУ ФСТЭК.
Подтвержденных случаев эксплуатации в реальных атаках нет. Уязвимость найдена исследователем m0x41nos 28 февраля 2026 года, имеется PoC.
На текущий момент вендор не выпустил исправление для этой уязвимости. В качестве компенсирующих мер можно воспользоваться следующими рекомендациями: запуск интерпретатора PHP в изолированном окружении с минимальными привилегиями; Использование отдельных пулов в PHP-FPM для разных пользователей.
Поделиться
