В январский «вторник обновлений» Microsoft закрыла две опасные уязвимости в драйвере ntfs.sys, отвечающем за работу файловой системы NTFS во всех современных версиях Windows. Обе проблемы, обнаруженные специалистом Positive Technologies Сергеем Тарасовым, позволяли злоумышленнику выполнить эскалацию привилегий до уровня SYSTEM и получить полный контроль над операционной системой после первоначального взлома.
Уязвимости NTFS в Windows: масштаб и затронутые версии
Обновления безопасности вышли сразу для 37 редакций Windows, включая Windows 10, Windows 11, а также серверные версии Windows Server 2019, 2022 и ожидаемую Windows Server 2025. Это подчеркивает критичность уязвимостей: NTFS используется как файловая система по умолчанию на большинстве рабочих станций и серверов Windows, а драйвер ntfs.sys работает в режиме ядра с наивысшими привилегиями.
Обе уязвимости получили одинаковую оценку — 7,8 по шкале CVSS, что соответствует уровню высокой опасности. Формально они считаются локальными, однако в современных многоступенчатых атаках именно такие ошибки используются как следующий шаг после первоначального проникновения в инфраструктуру.
Технические детали: переполнение буфера и некорректная обработка разделов
CVE-2026-20840: heap-based buffer overflow при работе с VHD
Первая уязвимость, CVE-2026-20840, относится к классу heap-based buffer overflow — переполнению буфера в динамически выделяемой памяти (heap). Ошибка была связана с недостаточно безопасной обработкой виртуальных жестких дисков (VHD). При разборе специально подготовленного VHD-файла драйвер ntfs.sys мог записать данные за пределы выделенного буфера.
Для эксплуатации злоумышленнику требовался уже существующий доступ к системе, например через установленную малварь или скомпрометированную учетную запись. После этого он мог подать в систему вредоносный VHD-файл, инициировать его обработку и добиться записи произвольных данных в защищенные области памяти ядра. Такой сценарий открывает путь к получению прав SYSTEM и выполнению произвольного кода.
CVE-2026-20922: отсутствие проверок корректности таблиц разделов
Вторая уязвимость, CVE-2026-20922, также оценена в 7,8 по CVSS и связана с некорректной проверкой структур данных внутри кода драйвера ntfs.sys. Проблема заключалась в отсутствии достаточных проверок корректности таблиц в разделе, что позволяло атакующему создать специально сформированный раздел и спровоцировать некорректную работу драйвера.
Как и в первом случае, успешная эксплуатация приводила к эскалации привилегий до уровня SYSTEM и, по сути, давала злоумышленнику полный контроль над скомпрометированным устройством: от скрытой установки вредоносного ПО до доступа к любым данным, хранящимся на диске.
Как уязвимости NTFS могут использоваться в реальных атаках
Важно понимать, что обе уязвимости требуют локального доступа к системе. Это означает, что сами по себе они редко используются как точка входа. Чаще они становятся вторым или третьим звеном в цепочке атаки: сначала злоумышленник получает базовый доступ (через фишинг, эксплуатацию уязвимостей приложений, подбор или кражу учетных данных), а затем задействует подобные баги в ядре для закрепления и расширения прав.
В корпоративных средах такие уязвимости особенно опасны. Захват прав SYSTEM на одной машине позволяет:
- обходить средства защиты на уровне ОС и антивируса;
- перехватывать учетные данные других пользователей и администраторов;
- использовать скомпрометованную систему как плацдарм для lateral movement — дальнейшего распространения по локальной сети;
- маскировать присутствие малвари и усложнять инцидент-риджойн и форензику.
По данным отраслевых отчетов, подобные локальные уязвимости в ядре Windows регулярно входят в набор инструментов продвинутых атакующих групп (APT) и используются для обхода механизмов контроля доступа и песочниц.
Рекомендации по защите и временные меры снижения рисков
Ключевая рекомендация для организаций и частных пользователей — как можно скорее установить январские обновления безопасности Microsoft на все поддерживаемые версии Windows 10, Windows 11 и Windows Server. Для корпоративных сред важно интегрировать данные патчи в существующий процесс управления обновлениями (patch management) и контролировать их фактическое внедрение на конечных точках.
Если оперативно установить патчи невозможно, стоит принять дополнительные меры предосторожности:
- минимизировать использование и подключение VHD и других виртуальных дисков, особенно полученных из внешних или непроверенных источников;
- ограничить пользователям возможность самостоятельного монтирования образов дисков и смены конфигурации хранилищ;
- усилить мониторинг подозрительной активности, связанной с работой с дисковыми образами и изменением разделов;
- проводить регулярную проверку систем на наличие малвари, способной использовать локальные уязвимости для повышения привилегий.
Уязвимости в таких базовых компонентах, как драйвер файловой системы NTFS, наглядно демонстрируют, почему регулярное обновление Windows и строгая дисциплина управления патчами остаются одним из самых эффективных способов снижения киберрисков. Для организаций это также повод пересмотреть модель прав доступа, усилить защиту учетных записей и уделить больше внимания обучению сотрудников безопасной работе с файлами и вложениями. Чем сложнее злоумышленнику получить начальный доступ, тем меньше шансов, что подобные уязвимости ядра будут успешно задействованы в атаке.
