Microsoft устраняет более 80 уязвимостей, шесть из которых особенно опасны

В марте 2026 года в рамках ежемесячного обновления безопасности Microsoft устранила более 80 уязвимостей в своем программном обеспечении и облачных сервисах. Две из них были раскрыты публично, но не использовались злоумышленниками.

Множество уязвимостей для повышения привилегий

Две публично раскрытые проблемы — это CVE-2026-21262, уязвимость в SQL Server, позволяющая злоумышленникам получить привилегии SQLAdmin, и CVE-2026-26127, ошибка в .NET, которую можно использовать для атаки типа «отказ в обслуживании».

Вероятность эксплуатации первой, по оценке Microsoft, «ниже средней», а второй — «низкая».

Шесть из исправленных уязвимостей считаются «более вероятными» для эксплуатации, и все они могут быть использованы злоумышленниками для повышения своих привилегий (до уровня SYSTEM или администратора) на целевых системах:

CVE-2026-24289 и CVE-2026-26132 — это две ошибки типа «использование после освобождения» в ядре Windows. CVE-2026-23668 — это состояние гонки в компоненте графики Windows.

«[CVE-2026-23668] была передана в программу ZDI Марцином Вёнзовски как два отдельных бага, что демонстрирует необходимость исследования вариантов при создании исправлений безопасности», — отметил Дастин Чайлдс, руководитель отдела информирования об угрозах в Zero Day Initiative компании Trend Micro.

CVE-2026-24294 затрагивает сервер SMB Windows и вызвана некорректной аутентификацией. CVE-2026-25187 обнаружена в Winlogon, системном процессе Windows, отвечающем за аутентификацию пользователей, безопасный вход/выход и безопасность рабочего стола, и вызвана некорректным разрешением ссылок перед доступом к файлу.

CVE-2026-24291 затрагивает инфраструктуру специальных возможностей Windows (ATBroker.exe).

«Эта конкретная уязвимость высоко ценится угрозчиками, поскольку обеспечивает надежный переход от ограниченной учетной записи пользователя к привилегиям SYSTEM. В то время как многие ошибки повышения прав дают только статус администратора, получение прав SYSTEM обеспечивает полный контроль над системой и возможность манипулирования памятью. Это конечная цель любого локального атакующего, поскольку позволяет полностью обойти средства обнаружения и реагирования на конечных точках, которые могут блокировать действия администратора, но не могут легко остановить процесс, выполняемый с токеном SYSTEM», — пояснил Бен Маккарти, ведущий инженер по кибербезопасности в Immersive.

Он также отметил, что поскольку этот ключевой компонент доступности присутствует почти на каждой современной установке Windows, «потенциальная поверхность атаки огромна, что делает быстрое развертывание официального исправления критически важным для поддержания целостности периметра».

Приоритет для этих обновлений

Эксперт выделил ещё четыре уязвимости, заслуживающие скорейшего исправления:

• CVE-2026-23669 — уязвимость удалённого выполнения кода с требованием аутентификации в службе диспетчера печати Windows.
• CVE-2026-26144 — критическая уязвимость межсайтового скриптинга (XSS) в Excel, которую можно использовать для того, чтобы агент Copilot передал данные злоумышленнику.
• CVE-2026-26110 и CVE-2026-26113 — две уязвимости удалённого выполнения кода в Microsoft Office.

«Ещё один месяц — и ещё две ошибки в Office, где область предварительного просмотра служит вектором атаки. Я уже сбился со счёта, сколько подобных ошибок было исправлено за последний год, но до их появления в активных эксплойтах — лишь вопрос времени», — прокомментировал он.

«Последние версии Outlook позволяют скрыть область предварительного просмотра, но неясно, защитит ли это от подобных атак. Лучшим вариантом по-прежнему остаётся тестирование и установка обновления, но учитывая количество выпущенных заплаток, вполне вероятно, что для полного решения проблемы потребуются дальнейшие обновления».

Другие критические ошибки были исправлены в различных облачных сервисах: Microsoft ACI Confidential Containers, Microsoft Devices Pricing Program и Payment Orchestrator Service. Microsoft устранила их на стороне сервера, и пользователям не требуется предпринимать никаких действий для защиты.

Национальный центр кибербезопасности Нидерландов также обратил внимание на уязвимость CVE-2026-26123, затрагивающую Microsoft Authenticator для Android и iOS. Злоумышленники могут использовать вредоносное приложение для перехвата входа жертвы в атаке «человек посередине».

«Поскольку успешная эксплуатация зависит от ряда шагов и социальной инженерии, массовое злоупотребление маловероятно, но его можно ожидать в целевых атаках со стороны технически продвинутых акторов», — добавили они.

Для успешной атаки необходимо участие пользователя, поскольку на его устройстве должно быть установлено вредоносное приложение, которое затем случайно выбирается в качестве обработчика для ссылки глубокой аутентификации. Это может произойти, когда пользователь сканирует QR-код или нажимает на ссылку для входа и выбирает вредоносное приложение вместо Microsoft Authenticator, в результате чего процесс входа перехватывается приложением, контролируемым злоумышленником, — пояснила Microsoft в своём бюллетене по безопасности.

Адам Барнетт, ведущий инженер-программист компании Rapid7, отметил, что, поскольку пользователи могут выбирать приложение для аутентификации, корпоративным защитникам «следует оценить, насколько эффективно их политика управления мобильными устройствами обеспечивает контроль за выбором приложений и их своевременное обновление для MFA».

Подпишитесь на нашу экстренную e-mail рассылку, чтобы всегда быть в курсе последних утечек данных, уязвимостей и киберугроз. Подписаться можно здесь!