Microsoft устранила критическую уязвимость в обновлённом «Блокноте» (Windows Notepad) для Windows 11, которая позволяла запускать локальные и удалённые файлы через Markdown-ссылки. Ошибка, получившая идентификатор CVE-2026-20841, могла приводить к удалённому выполнению кода (RCE) при минимальном участии пользователя.
Новый Notepad в Windows 11 и как в нём появилась проблема
С выходом Windows 11 Microsoft отказалась от WordPad и существенно переработала классический Notepad, превратив его из примитивного текстового редактора в более функциональный инструмент с поддержкой форматирования и Markdown. Теперь приложение умеет открывать и редактировать файлы с расширением .md, а ссылки в Markdown становятся кликабельными прямо в интерфейсе «Блокнота».
Именно эта новая функциональность стала вектором атаки. Согласно бюллетеню безопасности Microsoft, уязвимость CVE-2026-20841 связана с некорректной нейтрализацией специальных элементов в командах, обрабатываемых приложением Windows Notepad. Проще говоря, Notepad неправильно обращался с некоторыми типами ссылок, что позволяло злоумышленнику инициировать запуск программ без должной проверки со стороны системы.
Как осуществляется атака через Markdown-ссылки
Исследователи информационной безопасности показали, что для эксплуатации достаточно создать Markdown-файл с особыми ссылками, например вида file://, указывающими на исполняемые файлы, или ссылками с URI-схемами, такими как ms-appinstaller://. Такие ссылки могут вести как на локальные файлы, так и на ресурсы в сетевых шарах SMB.
Если пользователь открывал подобный .md-файл в «Блокноте» версии 11.2510 или более ранней, переключался в режим отображения Markdown и кликал по ссылке, указанный исполняемый файл запускался без каких-либо предупреждений Windows. Дополнительный риск создавали ссылки на бинарные файлы, размещённые на удалённых SMB-серверах: это позволяло проводить атаки из сети или через скомпрометированные общие ресурсы.
Запускаемый таким образом вредоносный код выполнялся в контексте прав текущего пользователя. Если у пользователя были административные привилегии, злоумышленник получал возможность производить критические изменения в системе, устанавливать малварь и дальнейшие инструменты для закрепления в инфраструктуре.
Оценка риска: от локального клика до удалённого компромета
Хотя эксплуатация CVE-2026-20841 требует действия пользователя (открыть Markdown-файл и кликнуть по ссылке), этот барьер легко преодолим с помощью социальной инженерии. Злоумышленники могут рассылать такие файлы по электронной почте, размещать их в репозиториях кода, системах совместной работы или пересылать через мессенджеры под видом документации, инструкций или технических заметок.
Класс уязвимости — удалённое выполнение кода — традиционно относится к наиболее опасным. Подобные ошибки регулярно фигурируют в отчётах вендоров и нередко используются как первый шаг для компрометации рабочих станций. В связке с уязвимостями локального повышения привилегий такая атака может приводить к полному захвату контроля над системой и дальнейшему продвижению по сети организации.
Как Microsoft закрыла уязвимость в Notepad
В рамках февральского «вторника обновлений» Microsoft выпустила исправление для Notepad, распространяемое через Microsoft Store. Это означает, что на большинстве систем обновление устанавливается автоматически и без участия пользователя, что снижает окно возможной эксплуатации.
Ключевое изменение: для всех ссылок, использующих протоколы, отличные от http:// и https://, теперь отображается диалог подтверждения. При попытке перейти по ссылке с URI-схемами вроде file:, ms-settings:, ms-appinstaller:, mailto: и другими, Notepad показывает предупреждение и запрашивает согласие пользователя.
Фактически Microsoft внедрила дополнительный «контур защиты» между кликом и запуском внешнего приложения или файла. Однако специалисты справедливо обращают внимание, что полная безопасность по-прежнему зависит от осознанности пользователя: злоумышленник может убедить жертву нажать «Да» с помощью хорошо подготовленного сценария социальной инженерии. Отдельные эксперты задаются вопросом, почему изначально не был ограничен или жёстко отфильтрован набор допустимых протоколов в Markdown-ссылках.
Рекомендации по защите пользователей и компаний
Для минимизации рисков, связанных с подобными уязвимостями в приложениях Windows, целесообразно внедрить несколько базовых мер:
- Обеспечить автоматическое обновление Windows и приложений из Microsoft Store, включая Notepad, и контролировать установку патчей безопасности.
- Ограничивать привилегии пользователей: работа под учётной записью администратора существенно повышает последствия любой атаки RCE.
- Проводить обучение сотрудников распознаванию фишинга и социальной инженерии, в том числе работе с подозрительными файлами .md и неизвестными ссылками.
- Контролировать доступ к SMB-шарам и другим сетевым ресурсам, минимизируя использование анонимных или слабо защищённых общих папок.
- Использовать средства защиты endpoint, способные блокировать запуск подозрительных бинарных файлов и анализировать аномальное поведение приложений.
История с CVE-2026-20841 в Notepad хорошо иллюстрирует, как расширение функциональности даже привычных системных приложений может неожиданно открыть новое окно для атак. Поддержание актуальности обновлений, разумные ограничения прав, внимательное отношение к любым ссылкам и файлам — ключевые элементы повседневной гигиены кибербезопасности. Чем активнее пользователи и компании внедряют такие практики, тем сложнее злоумышленникам превратить одиночный клик по безобидной на вид Markdown-ссылке в точку входа в корпоративную сеть.
