Две уязвимости нулевого дня в виде проблемы отказа в обслуживании (DoS) в .NET и проблемы повышения привилегий (EoP) в SQL Server возглавляют повестку дня для команд безопасности в рамках последнего ежемесячного обновления Microsoft Patch Tuesday. Отслеживаемые как CVE-2026-26127 и CVE-2026-21262 и имеющие соответствующие оценки CVSS 7,5 и 8,8, обе уязвимости уже стали достоянием общественности, но на момент выпуска ни одна из них, как известно, не эксплуатируется, хотя это продлится недолго. CVE-2026-26127 возникает из-за условия чтения за пределами границ в .NET, которое позволяет неаутентифицированному злоумышленнику вызвать отказ в обслуживании по сети. Microsoft заявила, что по ее оценкам, эксплуатация маловероятна. CVE-2026-26127 является результатом некорректного контроля доступа и может быть использована только злоумышленником, который уже авторизован в сети, — в связи с этим Microsoft считает, что эксплуатация менее вероятна. Однако, по мнению старшего инженера-программиста Rapid7 Адама Барнетта, в обоих этих случаях оценка Microsoft может недооценивать потенциальное воздействие двух уязвимостей. «Злоумышленники, любящие атаки типа «отказ в обслуживании» с низкими усилиями против приложений .NET, сегодня будут изучать CVE-2026-26127», — сказал Барнетт. «Microsoft осведомлена об общедоступном раскрытии информации. Хотя немедленное воздействие эксплуатации, вероятно, ограничится отказом в обслуживании путем вызова сбоя, возможности для других типов атак могут появиться во время перезагрузки службы». Например, пояснил он, если затронут перенаправитель журналов или агент безопасности, злоумышленник может использовать это, чтобы скрыть более разрушительную атаку, и даже если он просто вызовет простой, этого может быть достаточно, чтобы вызвать нарушение соглашений об уровне обслуживания (SLA) или финансовые потери, или, отметил Барнетт, заставить кого-то получить уведомление во сне. Между тем, по его словам, CVE-2026-21262 — это не «просто очередная уязвимость EoP». «Microsoft осведомлена об общедоступном раскрытии информации, поэтому, хотя они оценивают вероятность эксплуатации как менее вероятную, смелым защитником будет тот, кто отмахнется и отложит исправления для этой», — сказал Барнетт. «Большинство администраторов SQL Server и команды безопасности много лет назад пришли к выводу, что прямое подключение SQL Server к Интернету — плохая идея. С другой стороны, популярные поисковые системы для устройств, подключенных к Интернету, сообщают о десятках тысяч экземпляров SQL Server, и не все они могут быть ловушками». Если злоумышленник получит права администратора SQL Server, помимо кражи или изменения базы данных, он также может нацелиться, например, на функцию xp_cmdshell — это хранимую процедуру, которая запускает командную оболочку Windows для выполнения команд операционной системы. Эта функция отключена по умолчанию, но может быть легко включена администратором, после чего злоумышленник сможет действовать с полными привилегиями контекста безопасности целевого экземпляра.
Критические уязвимости привлекают внимание
Обновление Patch Tuesday этого месяца также включает в себя в общей сложности восемь критически оцененных уязвимостей от Microsoft, три из которых затрагивают конфиденциальные контейнеры Microsoft ACI. Эта группа также включает три уязвимости удаленного выполнения кода (RCE), две в Microsoft Office и одну в Microsoft Devices Pricing Programme. Две уязвимости RCE в Microsoft Office — это CVE-2026-26110, которая возникает из-за проблемы путаницы типов, при которой приложение обращается к ресурсу с несовместимым типом данных, вызывая некорректную обработку памяти, и CVE-2026-26113, которая возникает из-за проблемы разыменования недоверенного указателя, при которой Office некорректно обрабатывает указатели памяти, позволяя злоумышленнику манипулировать тем, как приложение обращается к памяти. «Уязвимости удаленного выполнения кода в программном обеспечении для повышения производительности представляют собой угрозу высокого риска для организаций», — сказал Джек Бицер, директор по исследованиям уязвимостей в Action1. «В случае эксплуатации злоумышленники могут получить контроль над системами сотрудников, развернуть программы-вымогатели, украсть конфиденциальные документы или установить постоянный доступ в корпоративных сетях. «Поскольку документы Office часто распространяются внутри и за пределами компании, вредоносные файлы могут быстро распространяться по организациям, потенциально превращая одну скомпрометированную систему во входную точку для более широкого компрометации сети». Бицер добавил: «Если обновление безопасности не может быть применено немедленно, организациям следует отключить панель предварительного просмотра в проводниках файлов и ограничить открытие файлов Office из ненадежных источников. Внедрение фильтрации электронной почты, сканирования вложений и мониторинга защиты конечных точек также может снизить риск доставки вредоносных документов».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Alex Scroxton
