Связаться с нами
Ру
Русский English
Услуги О компании Pert Блог
Ру
Русский English
MS Patch Tuesday

Анализ обновлений Microsoft Patch Tuesday – Апрель 2026

Краткое Резюме

Во вторник, 14.04.2026, Microsoft выпустила ежемесячный патч безопасности, устраняющий 165 уязвимостей в своих продуктах.

По уровню опасности:

  • Important - 154;
  • Critical - 8;
  • Low - 1;
  • Moderate - 2.

Эксплуатируемые (Zero-Days) и Публично Раскрытые Уязвимости

Особое внимание следует уделить на следующие 2 уязвимости. Их исправление является наивысшим приоритетом:

  • CVE-2026-32201 (CVSS 6.5; Important) - Microsoft SharePoint Server Spoofing Vulnerability (Spoofing). Уязвимость в Microsoft SharePoint Server, вызванная некорректной проверкой входных данных (CWE-20). Она позволяет удаленному неавторизованному злоумышленнику выполнить атаку подмены (spoofing) по сети без необходимости взаимодействия с пользователем. Успешная эксплуатация позволяет злоумышленнику получить доступ к конфиденциальной информации и вносить в нее изменения, при этом не нарушая общую доступность сервера.
  • CVE-2026-33825 (CVSS 7.8; Important) - Microsoft Defender Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость в платформе Microsoft Defender Antimalware Platform, обусловленная недостаточной детализацией управления доступом (CWE-1220). Локальный авторизованный злоумышленник с низкими привилегиями может эксплуатировать некорректные ограничения прав в компонентах платформы (включая пользовательский процесс MsMpEng.exe и сопутствующие драйверы ядра) для захвата полного контроля над системой с правами уровня SYSTEM.

Общие тенденции

Апрельский Patch Tuesday 2026 года стал по-настоящему рекордным и тяжелым для ИТ-администраторов: Microsoft выпустила исправления для колоссальных 165 уязвимостей. Этот масштабный выпуск более чем в два раза превышает показатели предыдущего месяца и возвращает нас к пиковым значениям, характерным для осени прошлого года. Столь огромный объем обновлений свидетельствует о глобальной чистке кодовой базы накануне весенних релизов ОС. Ключевые тенденции апреля:

  • Атаки на системы защиты и доверия: Особую тревогу вызывает публично раскрытая уязвимость в самом Microsoft Defender (CVE-2026-33825). Использование антивирусной платформы для повышения привилегий — это классический пример того, как инструменты защиты становятся вектором атаки. В совокупности с массовыми исправлениями обходов функций безопасности (Security Feature Bypass) для Windows Hello, BitLocker, Secure Boot, Boot Manager и Windows Shell, это указывает на то, что злоумышленники целенаправленно ищут способы отключения или обхода базовых защитных механизмов Windows.
  • Активная эксплуатация корпоративных порталов: Подтверждена активная эксплуатация уязвимости спуфинга в Microsoft SharePoint Server (CVE-2026-32201). Несмотря на средний рейтинг CVSS (6.5), факт ее применения в реальных атаках делает ее критически опасной для корпоративного сектора, так как она позволяет скрытно манипулировать данными и обходить механизмы аутентификации.
  • Фундаментальные сетевые угрозы (RCE): В этом месяце закрыт целый ряд критических уязвимостей удаленного выполнения кода (RCE) в базовых сетевых компонентах ОС. Исправления затрагивают стек TCP/IP, службу IKE (IPsec), Active Directory, SQL Server и Remote Desktop Client. Ошибки в таких низкоуровневых и сетевых протоколах традиционно открывают двери для самораспространяющихся угроз (червей) и массовых компрометаций инфраструктуры.
  • Тотальное доминирование повышения привилегий (EoP): Из 165 исправлений львиная доля направлена на латание дыр локального повышения привилегий. Под ударом оказались десятки компонентов: от драйверов AFD, UPnP, Projected File System до DWM и Win32k. Это подчеркивает, что после преодоления первичного периметра злоумышленники имеют огромный арсенал средств для получения полных прав (SYSTEM) на непропатченных машинах.
  • Продолжающийся кризис Office: Пакет Microsoft Office (включая Word и Excel) получил очередную порцию исправлений RCE. Это подтверждает, что вредоносные документы остаются одним из главных инструментов доставки полезной нагрузки в фишинговых кампаниях.

Полный Список Уязвимостей

Ниже представлена таблица со всеми уязвимостями, исправленными в этом месяце.

CVETitleTypeCVSSSeverityЭксплуатируетсяПублично Раскрыта
CVE-2026-33825Microsoft Defender Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетДа
CVE-2026-32201Microsoft SharePoint Server Spoofing VulnerabilitySpoofing6.5ImportantДаНет
CVE-2026-33824Windows Internet Key Exchange (IKE) Service Extensions Remote Code Execution VulnerabilityRemote Code Execution9.8CriticalНетНет
CVE-2026-26149Microsoft Power Apps Security Feature BypassSecurity Feature Bypass9.0ImportantНетНет
CVE-2026-26167Windows Push Notifications Elevation of Privilege VulnerabilityElevation of Privilege8.8ImportantНетНет
CVE-2026-26178Windows Advanced Rasterization Platform Elevation of Privilege VulnerabilityElevation of Privilege8.8ImportantНетНет
CVE-2026-32157Remote Desktop Client Remote Code Execution VulnerabilityRemote Code Execution8.8CriticalНетНет
CVE-2026-32171Azure Logic Apps Elevation of Privilege VulnerabilityElevation of Privilege8.8ImportantНетНет
CVE-2026-32225Windows Shell Security Feature Bypass VulnerabilitySecurity Feature Bypass8.8ImportantНетНет
CVE-2026-33120Microsoft SQL Server Remote Code Execution VulnerabilityRemote Code Execution8.8ImportantНетНет
CVE-2026-27928Windows Hello Security Feature Bypass VulnerabilitySecurity Feature Bypass8.7ImportantНетНет
CVE-2026-32091Microsoft Brokering File System Elevation of Privilege VulnerabilityElevation of Privilege8.4ImportantНетНет
CVE-2026-32162Windows COM Elevation of Privilege VulnerabilityElevation of Privilege8.4ImportantНетНет
CVE-2026-32190Microsoft Office Remote Code Execution VulnerabilityRemote Code Execution8.4CriticalНетНет
CVE-2026-32221Windows Graphics Component Remote Code Execution VulnerabilityRemote Code Execution8.4ImportantНетНет
CVE-2026-33114Microsoft Word Remote Code Execution VulnerabilityRemote Code Execution8.4CriticalНетНет
CVE-2026-33115Microsoft Word Remote Code Execution VulnerabilityRemote Code Execution8.4CriticalНетНет
CVE-2026-33827Windows TCP/IP Remote Code Execution VulnerabilityRemote Code Execution8.1CriticalНетНет
CVE-2026-27912Windows Kerberos Elevation of Privilege VulnerabilityElevation of Privilege8.0ImportantНетНет
CVE-2026-33826Windows Active Directory Remote Code Execution VulnerabilityRemote Code Execution8.0CriticalНетНет
CVE-2026-20930Windows Management Services Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-23657Microsoft Word Remote Code Execution VulnerabilityRemote Code Execution7.8ImportantНетНет
CVE-2026-26143Microsoft PowerShell Security Feature Bypass VulnerabilitySecurity Feature Bypass7.8ImportantНетНет
CVE-2026-26153Windows Encrypted File System (EFS) Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-26156Windows Hyper-V Remote Code Execution VulnerabilityRemote Code Execution7.8ImportantНетНет
CVE-2026-26159Remote Desktop Licensing Service Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-26160Remote Desktop Licensing Service Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-26161Windows Sensor Data Service Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-26162Windows OLE Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-26163Windows Kernel Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-26168Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-26170PowerShell Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-26172Windows Push Notifications Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-26176Windows Client Side Caching driver (csc.sys) Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-26179Windows Kernel Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-26180Windows Kernel Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-26181Microsoft Brokering File System Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-26183Remote Access Management service/API (RPC server) Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-26184Windows Projected File System Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-27907Windows Storage Spaces Controller Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-27909Windows Search Service Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-27910Windows Installer Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-27911Windows User Interface Core Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-27914Microsoft Management Console Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-27915Windows UPnP Device Host Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-27916Windows UPnP Device Host Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-27918Windows Shell Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-27919Windows UPnP Device Host Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-27920Windows UPnP Device Host Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-27923Desktop Window Manager Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-27924Desktop Window Manager Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-27927Windows Projected File System Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32069Windows Projected File System Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32074Windows Projected File System Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32076Windows Storage Spaces Controller Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32077Windows UPnP Device Host Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32078Windows Projected File System Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32089Windows Speech Brokered Api Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32090Windows Speech Brokered Api Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32152Desktop Window Manager Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32153Windows Speech Runtime Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32154Desktop Window Manager Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32155Desktop Window Manager Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32158Windows Push Notifications Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32159Windows Push Notifications Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32160Windows Push Notifications Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32163Windows User Interface Core Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32164Windows User Interface Core Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32165Windows User Interface Core Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32168Azure Monitor Agent Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32183Windows Snipping Tool Remote Code Execution VulnerabilityRemote Code Execution7.8ImportantНетНет
CVE-2026-32184Microsoft High Performance Compute (HPC) Pack Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32189Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8ImportantНетНет
CVE-2026-32192Azure Monitor Agent Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-32197Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8ImportantНетНет
CVE-2026-32198Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8ImportantНетНет
CVE-2026-32199Microsoft Excel Remote Code Execution VulnerabilityRemote Code Execution7.8ImportantНетНет
CVE-2026-32200Microsoft PowerPoint Remote Code Execution VulnerabilityRemote Code Execution7.8ImportantНетНет
CVE-2026-32222Windows Win32k Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-33095Microsoft Word Remote Code Execution VulnerabilityRemote Code Execution7.8ImportantНетНет
CVE-2026-33098Windows Container Isolation FS Filter Driver Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-33101Windows Print Spooler Elevation of Privilege VulnerabilityElevation of Privilege7.8ImportantНетНет
CVE-2026-27913Windows BitLocker Security Feature Bypass VulnerabilitySecurity Feature Bypass7.7ImportantНетНет
CVE-2026-23666.NET Framework Denial of Service VulnerabilityDenial of Service7.5CriticalНетНет
CVE-2026-26154Windows Server Update Service (WSUS) Tampering VulnerabilityTampering7.5ImportantНетНет
CVE-2026-26171.NET Denial of Service VulnerabilityDenial of Service7.5ImportantНетНет
CVE-2026-32071Windows Local Security Authority Subsystem Service (LSASS) Denial of Service VulnerabilityDenial of Service7.5ImportantНетНет
CVE-2026-32178.NET Spoofing VulnerabilitySpoofing7.5ImportantНетНет
CVE-2026-32203.NET and Visual Studio Denial of Service VulnerabilityDenial of Service7.5ImportantНетНет
CVE-2026-33096HTTP.sys Denial of Service VulnerabilityDenial of Service7.5ImportantНетНет
CVE-2026-33116.NET, .NET Framework, and Visual Studio Denial of Service VulnerabilityDenial of Service7.5ImportantНетНет
CVE-2026-32156Windows UPnP Device Host Remote Code Execution VulnerabilityRemote Code Execution7.4ImportantНетНет
CVE-2026-32149Windows Hyper-V Remote Code Execution VulnerabilityRemote Code Execution7.3ImportantНетНет
CVE-2026-26151Remote Desktop Spoofing VulnerabilitySpoofing7.1ImportantНетНет
CVE-2026-32188Microsoft Excel Information Disclosure VulnerabilityInformation Disclosure7.1ImportantНетНет
CVE-2026-25184Applocker Filter Driver (applockerfltr.sys) Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-26152Microsoft Cryptographic Services Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-26165Windows Shell Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-26166Windows Shell Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-26173Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-26174Windows Server Update Service (WSUS) Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-26177Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-26182Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-27908Windows TDI Translation Driver (tdx.sys) Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-27917Windows WFP NDIS Lightweight Filter Driver (wfplwfs.sys) Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-27921Windows TDI Translation Driver (tdx.sys) Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-27922Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-27926Windows Cloud Files Mini Filter Driver Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-27929Windows LUA File Virtualization Filter Driver Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-32068Windows Simple Search and Discovery Protocol (SSDP) Service Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-32070Windows Common Log File System Driver Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-32073Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-32075Windows UPnP Device Host Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-32080Windows WalletService Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-32082Windows Simple Search and Discovery Protocol (SSDP) Service Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-32083Windows Simple Search and Discovery Protocol (SSDP) Service Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-32086Windows Function Discovery Service (fdwsd.dll) Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-32087Windows Function Discovery Service (fdwsd.dll) Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-32093Windows Function Discovery Service (fdwsd.dll) Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-32150Windows Function Discovery Service (fdwsd.dll) Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-32195Windows Kernel Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-32219Microsoft Brokering File System Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-32224Windows Server Update Service (WSUS) Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-33099Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-33100Windows Ancillary Function Driver for WinSock Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-33104Win32k Elevation of Privilege VulnerabilityElevation of Privilege7.0ImportantНетНет
CVE-2026-32223Windows USB Printing Stack (usbprint.sys) Elevation of Privilege VulnerabilityElevation of Privilege6.8ImportantНетНет
CVE-2026-0390UEFI Secure Boot Security Feature Bypass VulnerabilitySecurity Feature Bypass6.7ImportantНетНет
CVE-2026-32167SQL Server Elevation of Privilege VulnerabilityElevation of Privilege6.7ImportantНетНет
CVE-2026-32176SQL Server Elevation of Privilege VulnerabilityElevation of Privilege6.7ImportantНетНет
CVE-2026-26155Microsoft Local Security Authority Subsystem Service Information Disclosure VulnerabilityInformation Disclosure6.5ImportantНетНет
CVE-2026-27925Windows UPnP Device Host Information Disclosure VulnerabilityInformation Disclosure6.5ImportantНетНет
CVE-2026-32151Windows Shell Information Disclosure VulnerabilityInformation Disclosure6.5ImportantНетНет
CVE-2026-32072Active Directory Spoofing VulnerabilitySpoofing6.2ImportantНетНет
CVE-2026-26169Windows Kernel Memory Information Disclosure VulnerabilityInformation Disclosure6.1ImportantНетНет
CVE-2026-32088Windows Biometric Service Security Feature Bypass VulnerabilitySecurity Feature Bypass6.1ImportantНетНет
CVE-2026-32196Windows Admin Center Spoofing VulnerabilitySpoofing6.1ImportantНетНет
CVE-2026-33822Microsoft Word Information Disclosure VulnerabilityInformation Disclosure6.1ImportantНетНет
CVE-2026-32226.NET Framework Denial of Service VulnerabilityDenial of Service5.9ImportantНетНет
CVE-2026-23653GitHub Copilot and Visual Studio Code Information Disclosure VulnerabilityInformation Disclosure5.7ImportantНетНет
CVE-2026-23670Windows Virtualization-Based Security (VBS) Security Feature Bypass VulnerabilitySecurity Feature Bypass5.7ImportantНетНет
CVE-2026-20806Windows COM Server Information Disclosure VulnerabilityInformation Disclosure5.5ImportantНетНет
CVE-2026-27930Windows GDI Information Disclosure VulnerabilityInformation Disclosure5.5ImportantНетНет
CVE-2026-27931Windows GDI Information Disclosure VulnerabilityInformation Disclosure5.5ImportantНетНет
CVE-2026-32079Web Account Manager Information Disclosure VulnerabilityInformation Disclosure5.5ImportantНетНет
CVE-2026-32081Package Catalog Information Disclosure VulnerabilityInformation Disclosure5.5ImportantНетНет
CVE-2026-32084Windows Print Spooler Information Disclosure VulnerabilityInformation Disclosure5.5ImportantНетНет
CVE-2026-32085Remote Procedure Call Information Disclosure VulnerabilityInformation Disclosure5.5ImportantНетНет
CVE-2026-32181Connected User Experiences and Telemetry Service Denial of Service VulnerabilityDenial of Service5.5ImportantНетНет
CVE-2026-32212Universal Plug and Play (upnp.dll) Information Disclosure VulnerabilityInformation Disclosure5.5ImportantНетНет
CVE-2026-32214Universal Plug and Play (upnp.dll) Information Disclosure VulnerabilityInformation Disclosure5.5ImportantНетНет
CVE-2026-32215Windows Kernel Information Disclosure VulnerabilityInformation Disclosure5.5ImportantНетНет
CVE-2026-32216Windows Redirected Drive Buffering System Denial of Service VulnerabilityDenial of Service5.5ImportantНетНет
CVE-2026-32217Windows Kernel Information Disclosure VulnerabilityInformation Disclosure5.5ImportantНетНет
CVE-2026-32218Windows Kernel Information Disclosure VulnerabilityInformation Disclosure5.5ImportantНетНет
CVE-2026-33103Microsoft Dynamics 365 (On-Premises) Information Disclosure VulnerabilityInformation Disclosure5.5ImportantНетНет
CVE-2026-33119Microsoft Edge (Chromium-based) for Android Spoofing VulnerabilitySpoofing5.4ModerateНетНет
CVE-2026-20928Windows Recovery Environment Security Feature Bypass VulnerabilitySecurity Feature Bypass4.6ImportantНетНет
CVE-2026-20945Microsoft SharePoint Server Spoofing VulnerabilitySpoofing4.6ImportantНетНет
CVE-2026-26175Windows Boot Manager Security Feature Bypass VulnerabilitySecurity Feature Bypass4.6ImportantНетНет
CVE-2026-27906Windows Hello Security Feature Bypass VulnerabilitySecurity Feature Bypass4.4ImportantНетНет
CVE-2026-32220UEFI Secure Boot Security Feature Bypass VulnerabilitySecurity Feature Bypass4.4ImportantНетНет
CVE-2026-32202Windows Shell Spoofing VulnerabilitySpoofing4.3ImportantНетНет
CVE-2026-33118Microsoft Edge (Chromium-based) Spoofing VulnerabilitySpoofing4.3LowНетНет
CVE-2026-33829Windows Snipping Tool Spoofing VulnerabilitySpoofing4.3ModerateНетНет

Ретроспективный анализ уязвимостей

  • CVE-2026-20820 — Windows Common Log File System Driver Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость переполнения буфера в куче (Heap-based Buffer Overflow) в драйвере файловой системы CLFS, позволяющая локальному злоумышленнику повысить свои привилегии до уровня SYSTEM. Эксплуатация осуществляется путем создания лог-контейнера и отправки специально сформированного IOCTL-запроса с буфером, нарушающим границы выделенной памяти (Out-of-Bounds write). Для данной уязвимости существует общедоступный PoC, демонстрирующий механизм переполнения. Уязвимость была исправлена в январе 2026 года.

  • CVE-2026-21509 — Microsoft Office Security Feature Bypass Vulnerability (Security Feature Bypass). Уязвимость связана с некорректным доверием к входным данным при принятии решений о безопасности (CWE-807). Злоумышленник может создать специально сформированный документ DOCX с внедренным OLE-объектом, в котором модифицирован идентификатор класса (CLSID). Это позволяет локально обойти функции защиты Office, заставив приложение инициализировать потенциально опасные компоненты (например, Shell.Explorer) без надлежащей проверки. Для данной уязвимости доступен PoC на Python, который автоматизирует создание вредоносного документа путем патчинга заголовков OLE-файла. Исправлена в январе 2026 года.

  • CVE-2026-20929 — Windows HTTP.sys Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость в драйвере HTTP.sys и компонентах аутентификации Kerberos, позволяющая реализовать технику CNAME Abuse для проведения атак типа Kerberos Relay. Проблема заключается в некорректной проверке прав доступа и поведении Kerberos-клиента: при получении DNS-записи типа CNAME клиент Windows доверяет алиасу и формирует запрос TGS, используя имя хоста из CNAME в качестве SPN. Это позволяет злоумышленнику в позиции DNS MITM (например, через IPv6/DHCPv6) принудительно заставить любого пользователя домена запросить билет Kerberos для выбранного атакующим сервиса и перенаправить его на узлы, где не настроена принудительная проверка Channel Binding (CBT) или подписи. На GitHub доступен PoC, расширенный функциями отравления CNAME-записей, позволяющий получить привилегии уровня SYSTEM. Уязвимость была исправлена в январе 2026 года.

  • CVE-2026-24289 — Windows Kernel Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость типа Use-After-Free (UAF) в ядре Windows (ntoskrnl.exe), возникающая из-за состояния гонки (race condition) при обработке портов завершения ввода-вывода (IOCP). Проблема заключается в том, что функция IopCompleteRequest считывает контекст завершения из объекта файла без захвата необходимой спин-блокировки, что позволяет локальному злоумышленнику через параллельный вызов NtSetInformationFile освободить или заменить этот контекст прямо во время его использования. Успешная эксплуатация позволяет повысить привилегии в системе до уровня SYSTEM. Опубликованный PoC демонстрирует механизм гонки, приводящий к фатальному сбою системы (BSOD) с кодом 0x18 (REFERENCE_BY_POINTER) на уязвимых сборках. Уязвимость была исправлена в марте 2026 года.

  • CVE-2026-24291 — Windows Accessibility Infrastructure (ATBroker.exe) Elevation of Privilege Vulnerability (Elevation of Privilege). Логическая уязвимость, получившая название «RegPwn», связана с некорректным назначением прав доступа к ключам реестра (CWE-732), используемым процессом ATBroker.exe. При переходе системы в режим «Безопасного рабочего стола» (например, при блокировке экрана или вызове окна UAC) системный процесс копирует конфигурационные данные из веток реестра, доступных обычному пользователю на запись. Используя символьные ссылки реестра и механизм opportunistic locks (oplocks) на файл oskmenu.xml, локальный злоумышленник может перенаправить операцию записи для изменения критических параметров системы (например, ImagePath службы), что позволяет выполнить произвольный код с привилегиями SYSTEM. Уязвимость была исправлена в марте 2026 года.

  • CVE-2026-23671 — Windows Bluetooth RFCOMM Protocol Driver Elevation of Privilege Vulnerability (Elevation of Privilege). Уязвимость типа «состояние гонки» (race condition) в драйвере протокола Bluetooth RFCOMM (bthport.sys), позволяющая локальному злоумышленнику повысить свои привилегии до уровня SYSTEM. Ошибка заключается в некорректной синхронизации доступа к объектам каналов (TOCTOU), что дает возможность подменить дескриптор канала в коротком окне между проверкой прав доступа и выполнением операции. Существует общедоступный PoC-модуль BlueSploit от исследователя v33ru, демонстрирующий атаку через метод SABM-флуда для захвата системного контекста безопасности. Уязвимость была исправлена в марте 2026 года.

Вывод

Апрельское обновление 2026 года — это критическое событие, требующее от ИТ-отделов максимальной концентрации и немедленных действий. Огромное количество патчей (165) потребует тщательного планирования развертывания и тестирования, однако откладывать процесс нельзя из-за наличия активно эксплуатируемых брешей и фундаментальных сетевых угроз.

Приоритет установки обновлений в апреле:

  1. Немедленное реагирование (Zero-Days): Накатите обновления на серверы SharePoint для блокировки активно эксплуатируемой CVE-2026-32201. Также в экстренном порядке обновите платформу Microsoft Defender (CVE-2026-33825), чтобы предотвратить использование антивируса против самой системы.
  2. Защита сетевого периметра и инфраструктуры: Критические RCE в службах IKE, TCP/IP и Active Directory — это сценарий «кошмара» для сетевых администраторов. Серверы, обращенные в интернет (особенно VPN и IPsec шлюзы), а также Контроллеры Домена должны быть обновлены в первую же ночь.
  3. Защита конечных точек: Установите патчи для компонентов, отвечающих за обход защиты (Windows Shell, SmartScreen, BitLocker), а также обновите пакеты Microsoft Office, чтобы нейтрализовать векторы атак через фишинг и вредоносные ссылки.

Также настоятельно рекомендуется внимательно изучить раздел «Ретроспективный анализ уязвимостей». Появление мощных публичных эксплойтов для мартовских и февральских уязвимостей (таких как Kerberos CNAME Abuse, RegPwn для ATBroker и переполнения в ядре) означает, что злоумышленники уже автоматизировали атаки на системы, которые не были обновлены в первом квартале 2026 года. Своевременное устранение технического долга по патчам сейчас жизненно необходимо.

Paranoid Security Анализ обновлений Microsoft Patch Tuesday – Март 2026 10 марта
MS Patch Tuesday Анализ обновлений Microsoft Patch Tuesday – Март 2026
Paranoid Security Анализ обновлений Microsoft Patch Tuesday – Февраль 2026 10 февраля
MS Patch Tuesday Анализ обновлений Microsoft Patch Tuesday – Февраль 2026
Paranoid Security Как злоумышленники используют подписанные драйверы для захвата инфраструктуры. Использование BYOVD для обхода механизмов защиты PPL в OS Windows. 5 февраля
Vulnerability Research Как злоумышленники используют подписанные драйверы для захвата инфраструктуры. Использование BYOVD для обхода механизмов защиты PPL в OS Windows.