❗️Самое время обновить Windows: наш эксперт помог закрыть две уязвимости нулевого дня в файловой системе ОС

Руководитель группы анализа уязвимостей PT ESC Сергей Тарасов (immortalp0ny) обнаружил опасные уязвимости, затрагивавшие более 30 настольных и серверных операционных систем, включая одни из самых популярных в мире — Windows 11 и Windows Server.

До выхода обновлений злоумышленники могли воспользоваться этими уязвимостями и получить полный контроль над компьютером — домашним или рабочим. Microsoft был уведомлен о выявленных ошибках в рамках политики ответственного разглашения — и закрыл уязвимости в январском обновлении безопасности.

Разбираемся в деталях 👇

1️⃣ Два пробела в защите системного файла ntfs.sys, который управляет файловой системой NTFS
PT-2026-2690, CVE-2026-20840 (7,8 балла по шкале CVSS 3.1)

Уязвимость относится к классу heap-based buffer overflow: в таких случаях программа некорректно контролирует размер обрабатываемых данных и позволяет записывать их за пределами безопасной области памяти. Это похоже на ситуацию, когда багаж загружают не в специальный отсек самолета, а прямо в кабину пилотов.

Ошибка была связана с небезопасной обработкой виртуальных жестких дисков (VHD). Для эксплуатации злоумышленнику требовался предварительный доступ к системе — например, через уже установленное вредоносное ПО. Он мог подготовить специальный VHD-файл, заставить систему его обработать и тем самым записать произвольные данные в защищенные области памяти, нарушив целостность системы.

До устранения ошибка открывала путь к эскалации привилегий до уровня SYSTEM. Получив такие права, атакующий мог полностью контролировать устройство: скрытно устанавливать вредоносные программы, похищать данные или, если речь идет корпоративной среде, использовать компьютер как точку входа для развития атак в локальной сети.

2️⃣ Еще одна уязвимость в NTFS
PT-2026-2727, CVE-2026-20922 (7,8 балла по шкале CVSS 3.1)

Ошибка относится к классу переполнения буфера в области динамически выделенной памяти. Она была вызвана отсутствием в коде драйвера проверок на корректность таблиц в разделе. Образно говоря, это ситуация, когда в самолет загружают так много багажа, что он выдавливает дверь в кабину пилотов.

Используя этот дефект, злоумышленник мог бы повысить привилегии до максимального уровня и в итоге просматривать конфиденциальную информацию, удалять файлы, устанавливать любые программы, включая вредоносные.

Подобные уязвимости нередко становятся первым шагом в многоступенчатых целенаправленных атаках на организации, значительно упрощая проникновение атакующего в инфраструктуру.

🔄 Как защититься

Самый надежный способ — установить актуальные обновления Microsoft.

Если обновление по каким-то причинам невозможно, стоит проявлять особую осторожность при работе с виртуальными жесткими дисками и не открывать VHD-файлы из непроверенных источников.

#PositiveЭксперты
@Positive_Technologies