Microsoft усунула критичну уразливість безпеки в оновленому Windows Notepad для Windows 11, яка дозволяла запускати локальні та віддалені файли через Markdown-посилання. Помилка, що отримала ідентифікатор CVE-2026-20841, відкривала можливість віддаленого виконання коду (Remote Code Execution, RCE) при мінімальній взаємодії користувача з файлом.
Оновлений Notepad у Windows 11 та новий вектор атаки
У Windows 11 Microsoft відмовилася від WordPad та суттєво розширила функціональність класичного «Блокнота». Notepad перетворився з простого текстового редактора на більш гнучкий інструмент із підтримкою форматованого тексту та Markdown. Додаток вміє відкривати та редагувати файли з розширенням .md, а гіперпосилання в Markdown одразу стають клікабельними в інтерфейсі програми.
Саме ця можливість і стала основою вразливості. Згідно з бюлетенем безпеки Microsoft, CVE-2026-20841 пов’язана з некоректною нейтралізацією спеціальних символів у командах, які обробляє Windows Notepad. Інакше кажучи, програма неправильно обробляла частину посилань, що давало змогу зловмиснику ініціювати запуск зовнішніх програм або файлів без належного контролю з боку системи.
Як працює атака через Markdown-посилання в Notepad
Небезпечні URI-схеми, file:// та SMB-ресурси
Дослідники кібербезпеки продемонстрували, що для експлуатації достатньо створити Markdown-файл із навмисно сформованими посиланнями, наприклад file://, які вказують на виконувані файли, або посиланнями із специфічними URI-схемами, такими як ms-appinstaller://. Такі посилання можуть вказувати як на локальні об’єкти, так і на ресурси, розміщені на віддалених SMB-шарах.
Якщо користувач відкривав подібний .md-документ у Notepad версії 11.2510 або ранішій, перемикався в режим перегляду Markdown і натискав на посилання, вказаний виконуваний файл стартував без будь-яких попереджень або підтверджень з боку Windows. Особливу небезпеку становили посилання на бінарні файли на віддалених SMB-серверах, оскільки це відкривало шлях до атак з мережі або через скомпрометовані спільні ресурси.
Код, запущений таким чином, виконувався в контексті прав поточного користувача. Якщо користувач мав права адміністратора, наслідки ставали критичними: зловмисник міг вносити системні зміни, встановлювати шкідливе програмне забезпечення, розгортати бекдори й інші інструменти для довготривалого закріплення в інфраструктурі.
Рівень загрози: роль соціальної інженерії та ланцюг атак
Попри те, що успішна експлуатація CVE-2026-20841 вимагала дії користувача (відкрити Markdown-файл і натиснути на посилання), цей бар’єр легко долається за допомогою соціальної інженерії. Шкідливі .md-файли можуть надсилатися електронною поштою, публікуватися в репозитаріях коду, системах спільної роботи, месенджерах під виглядом технічної документації, мануалів або внутрішніх інструкцій.
Клас уразливості Remote Code Execution традиційно входить до найнебезпечніших, оскільки часто використовується як перший крок для компрометації робочих станцій. У поєднанні з уразливостями локального підвищення привілеїв (LPE) подібний сценарій може призвести до повного контролю над системою та подальшого горизонтального або вертикального переміщення в мережі організації.
Як Microsoft закрила уразливість CVE-2026-20841 в Notepad
Виправлення вийшло в рамках лютневого Patch Tuesday та розповсюджується через Microsoft Store, що означає автоматичне оновлення більшості систем без додаткових дій з боку користувача. Це зменшує часовий проміжок, протягом якого уразливість могла бути використана в реальних атаках.
Ключова зміна полягає в тому, що для всіх посилань, які використовують протоколи, відмінні від http:// та https://, тепер відображається діалог підтвердження. Під час переходу за URI-схемами на кшталт file:, ms-settings:, ms-appinstaller:, mailto: та іншими, Notepad показує попередження й запитує згоду користувача.
Фактично Microsoft додала додатковий захисний рубіж між кліком і запуском зовнішньої програми або файлу. Водночас остаточний рівень безпеки, як і раніше, значною мірою залежить від уважності користувача: переконлива фішингова розсилка або правдоподібний контекст документа можуть схилити людину натиснути «Так». Частина експертів вказує, що більш жорсткий підхід із «білим списком» дозволених протоколів у Markdown-посиланнях міг би ще сильніше знизити ризики.
Рекомендації з кібербезпеки для користувачів та компаній
Щоб мінімізувати наслідки уразливостей на кшталт CVE-2026-20841 в Notepad для Windows 11, доцільно впровадити низку базових, але ефективних заходів безпеки.
- Увімкнути автоматичні оновлення Windows і застосунків із Microsoft Store, включно з Notepad, та регулярно перевіряти стан встановлення критичних патчів безпеки.
- Обмежувати привілеї користувачів: щоденна робота під обліковим записом адміністратора істотно збільшує наслідки будь-якої RCE-атаки.
- Підвищувати обізнаність співробітників щодо фішингу й соціальної інженерії, особливо роботи з підозрілими .md-файлами, посиланнями на SMB-ресурси та нетиповими URI-схемами.
- Жорстко контролювати доступ до SMB-шар та інших мережевих ресурсів, мінімізувати використання анонімних або слабо захищених спільних папок.
- Використовувати сучасні засоби захисту endpoint (EDR/NGAV), здатні блокувати запуск підозрілих бінарних файлів, відстежувати аномальну поведінку додатків і формувати сповіщення про потенційні інциденти.
Історія з CVE-2026-20841 в Notepad для Windows 11 наочно демонструє: навіть розширення функціональності звичних системних програм може непомітно відкрити нові вектори атак. Регулярне оновлення програмного забезпечення, принцип мінімально необхідних привілеїв, уважне ставлення до будь-яких посилань і вкладень та системне навчання користувачів залишаються ключовими елементами «кібергігієни». Варто вже зараз переконатися, що Notepad та інші критичні застосунки оновлені, політики доступу переглянуті, а співробітники розуміють, як один необережний клік по Markdown-посиланню може стати точкою входу для зловмисника у корпоративну мережу.
