Корпорация Microsoft и Агентство по кибербезопасности и защите инфраструктуры США (CISA) забили тревогу по поводу уязвимости подмены оболочки Windows, которую уже используют злоумышленники. Пока неясно, кто именно, но главными подозреваемыми считаются хакеры из России.
CISA предписало всем федеральным агентствам устранить эту уязвимость, обозначенную как CVE-2026-32202, к 12 мая. Согласно рекомендациям Microsoft, эксплуатация этой уязвимости может привести к доступу к конфиденциальным данным, однако злоумышленники не смогут получить контроль над системой.
Тем не менее, один из экспертов по безопасности предупредил, что значительный разрыв между моментом обнаружения бага Microsoft и датой, к которой системы должны быть пропатчены, увеличивает риски.
Разрыв в сроках установки исправлений
Лайонел Литти, директор по информационной безопасности (CISO) компании Menlo, заявил, что неполное исправление для CVE-2026-21510, которое привело к проблеме, отслеживаемой как CVE-2026-32202, усугубляет ситуацию. «Это наблюдается уже много лет. Существует уязвимость, а поставщик недостаточно тщательно ее устраняет, поэтому небольшое изменение не исправлено полностью. Обычно происходит так: основная уязвимость устранена, но остаются побочные эффекты». Результатом этого является дальнейшая задержка в полном устранении проблемы, пока разрабатывается новое обновление.
Главная проблема, по словам Литти, — это так называемый «разрыв в сроках установки исправлений» (patch gap). Он отметил, что изначально существует разрыв между моментом, когда поставщики обнаруживают уязвимость, и моментом выпуска исправления, а затем следует еще один разрыв между выпуском исправления и завершением обновления организациями. Например, он указал, что если обновление прерывает работу пользователей, они могут не спешить его устанавливать. «Мы видим на нашей платформе, что многие пользователи не обновляются неделями или даже месяцами», — сказал он.
Он подчеркнул, что сами поставщики действуют оперативно. Но, по его словам, «как CISO, я должен решить, какой уровень неудобств причинить нашим пользователям».
Сложный баланс
Эрик Авакян, технический консультант Info-Tech Research Group, отметил, что, устанавливая крайний срок для установки исправлений, CISA действовало в соответствии с Руководящей оперативной директивой (BOD) 22-01, которая требует от федеральных агентств США устранять уязвимости в сроки, предусмотренные политикой, — от 14 до 21 дня.
«В случаях активной эксплуатации с высоким риском CISA может сократить срок до трех дней», — сказал он. «Но в случае с CVE-2026-32202 оценка CVSS составляла 4,3, и хотя уязвимость активно эксплуатируется, эта оценка не соответствует пороговому значению политики для более быстрого цикла установки исправлений. В данном случае CISA установило 14-дневный срок, что соответствует их агрессивному стандарту срочности, основанному на рейтинге поставщика».
Он согласился с тем, что 14-дневное окно для устранения уязвимости, которая активно эксплуатируется в реальных условиях, может быть слишком долгим. Однако, по его словам, «я предполагаю, что в данном случае причина, по которой это не было повышено до цикла установки исправлений в рамках чрезвычайной директивы (что потребовало бы установки исправления всего за 48–72 часа), кроется в рейтинге Microsoft, а также в ряде других факторов».
Авакян объяснил свою логику: «Во-первых, организации могут помочь снизить риск, не применяя полное исправление, блокируя определенные порты для трафика на периметре брандмауэра», — сказал он. «Такая мера противодействия помогает снизить риск, пока тикают часы 14-дневного окна для установки исправлений. Более длительное окно дает тестировщикам дополнительное время для надлежащего тестирования исправлений в тестовой/промежуточной среде перед развертыванием в рабочей среде».
Во-вторых, по его словам, «одно дело — быстро установить исправления в ИТ-системах, но совсем другое — когда это делается в спешке, поскольку это несет потенциальный дополнительный непреднамеренный риск нарушения работы критически важных систем и приложений, если что-то пойдет не так или если исправление не было должным образом протестировано».
Авакян согласился с тем, что CISO сталкиваются со сложной задачей балансирования, когда им приходится сопоставлять риски со стабильностью систем.
И, как отметил Литти, ситуация постоянно меняется; появление ИИ вызовет больше проблем в будущем. «Мы наблюдаем сокращение разрыва по мере того, как ИИ становится частью проблемы», — сказал он, добавив, что использование ИИ позволяет людям с меньшими техническими навыками эксплуатировать системы и делать это быстрее, поэтому CISO не следует предполагать, что изощренные атаки исходят от национальных государств. Необходимо изменить мышление внутри организаций, чтобы справиться с этим.
«Вы больше не можете тратить несколько недель на тестирование обновления, а затем его внедрять: вам нужно действовать намного быстрее», — заключил он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Maxwell Cooter
