Февральский цикл обновлений безопасности Microsoft (Patch Tuesday) 2026 года стал одним из наиболее значимых за последнее время: компания закрыла 58 уязвимостей в продуктах Windows и Office, включая шесть 0-day, уже применявшихся в атаках или раскрытых публично. Одновременно запущена масштабная кампания по обновлению сертификатов Secure Boot, влияющая на экосистему Windows по всему миру.
Объем февральских обновлений безопасности Microsoft
Среди 58 исправленных проблем Microsoft выделяет пять критических уязвимостей: три относятся к повышению привилегий, еще две — к утечке информации. Остальные классифицируются как важные, но в совокупности они закрывают широкий спектр векторов атак — от обхода защитных механизмов до локального отказа в обслуживании.
Согласно принятой Microsoft методике, к 0-day уязвимостям относятся как баги, о которых стало известно до выхода патча, так и те, для которых уже существуют работающие эксплойты. В феврале устранены шесть таких проблем, три из них были публично раскрыты заранее: CVE-2026-21510, CVE-2026-21514 и CVE-2026-21513.
Обновление сертификатов Secure Boot: масштабная инфраструктурная смена ключей
Помимо патчей, Microsoft начала поэтапную замену корневых сертификатов Secure Boot, действующих с 2011 года и истекающих в конце июня 2026 года. Как подчеркнул директор по обслуживанию и доставке Windows Нуно Коста, первоначальные сертификаты «после более чем 15 лет непрерывной службы» достигают конца жизненного цикла, и экосистеме требуется плановая ротация доверенных ключей.
Что такое Secure Boot и почему это важно
Secure Boot — это механизм безопасности в UEFI, который проверяет цифровые подписи загрузчиков и драйверов при старте операционной системы. Его задача — не допустить загрузку неподписанного или поддельного кода, включая буткиты и руткиты, пытающиеся закрепиться еще до старта Windows. Фактически Secure Boot формирует доверенную цепочку от прошивки до ядра ОС.
Microsoft сообщает, что большинство ПК, выпускаемых с 2024 года, уже получают новые сертификаты на заводе. Для части существующих устройств потребуется отдельное обновление прошивки от производителя, причем новые сертификаты будут устанавливаться только на системы, которые демонстрируют стабильную работу после обновлений Windows.
Риски для организаций при задержке с обновлением прошивки
Игнорирование прошивочных обновлений может привести к тому, что спустя некоторое время устаревшие сертификаты Secure Boot начнут вызывать проблемы с загрузкой или несовместимость с новыми политиками безопасности. Организациям целесообразно уже сейчас инвентаризировать парки оборудования, проверить сайты поддержки вендоров и выстроить контролируемый процесс обновления UEFI в тестовых и затем в продуктивных средах.
0-day в SmartScreen, MSHTML и Microsoft Word: фокус на обход защит
CVE-2026-21510 описывает обход защитных механизмов в Windows SmartScreen и Windows Shell. Эксплоит позволяет атакующему запустить вредоносный код без стандартных предупреждений системы, если жертва откроет специально подготовленную ссылку или LNK-файл. По сути, это обход механизма Mark of the Web (MoTW), который обычно помечает файлы, загруженные из Интернета, и предупреждает пользователя о возможном риске.
CVE-2026-21513 — еще одна уязвимость обхода защиты, на этот раз во фреймворке MSHTML. Атакующий может добиться выполнения кода, убедив пользователя открыть вредоносный HTML- или LNK-файл. Технические детали и конкретный механизм обхода Microsoft пока не раскрывает, что типично для активно эксплуатируемых 0-day.
CVE-2026-21514 затрагивает Microsoft Word и связана с обходом OLE-защиты в Microsoft 365 и Office. Злоумышленнику необходимо доставить жертве вредоносный документ и убедить его открыть. Уязвимость позволяет обойти блокировку уязвимых COM/OLE-контролов, однако через панель предпросмотра эксплойт не срабатывает, что снижает риск пассивного заражения при просмотре писем.
В обнаружении CVE-2026-21510 и CVE-2026-21514 участвовали специалисты Google Threat Intelligence Group (GTIG), внутренние команды Microsoft и независимый исследователь. CVE-2026-21513 также была выявлена совместно Microsoft и GTIG. Учитывая фокус GTIG на коммерческих поставщиках шпионского ПО и государственных APT-группировках, можно предполагать использование этих 0-day в целевых кампаниях слежки.
Повышение привилегий и DoS: критичные этапы постэксплуатации
CVE-2026-21519 — уязвимость повышения привилегий в Desktop Window Manager (DWM). Успешная эксплуатация дает атакующему права уровня SYSTEM, что делает эту дыру особенно ценной на этапе постэксплуатации после первоначального проникновения (например, через фишинг или 0-day в приложениях).
CVE-2026-21525 представляет собой DoS-уязвимость в Windows Remote Access Connection Manager и связана с разыменованием нулевого указателя. Она позволяет вызвать локальный отказ в обслуживании. Исследователи ACROS Security, разрабатывающие решения 0patch, обнаружили эксплойт для этой проблемы в публичном репозитории малвари в декабре 2025 года. По их оценке, качество комбинированного эксплойта для нескольких багов указывает на работу профессиональных операторов.
CVE-2026-21533 — уязвимость повышения привилегий в Windows Remote Desktop Services, обнаруженная компанией CrowdStrike. Эксплойт изменяет конфигурационный ключ службы, подменяя его значением, контролируемым атакующим, и тем самым позволяет добавить нового пользователя в группу локальных администраторов. Хотя конкретные кампании пока не атрибутированы, эксперты ожидают, что после появления публичных техник эксплуатации активность вокруг CVE-2026-21533 возрастет.
Практические шаги для укрепления защиты
Организациям рекомендуется в приоритетном порядке развернуть февральские обновления безопасности Windows и Office, уделив особое внимание системам, доступным из Интернета, серверам удаленных рабочих столов и рабочим станциям с повышенными привилегиями. Важно усилить контроль над запуском скриптов и LNK-файлов, ограничить использование макросов Office, задействовать политики AppLocker или аналогичные механизмы контроля приложений, а также обеспечить мониторинг событий, связанных с изменением прав пользователей и конфигураций служб.
Февральский Patch Tuesday 2026 наглядно демонстрирует, что цепочка атак все чаще начинается с обхода встроенных защитных механизмов и завершается тихим повышением привилегий внутри сети. Своевременное обновление Windows, Office, UEFI-прошивок и политики Secure Boot, в сочетании с многоуровневой защитой конечных точек и регулярным анализом журналов безопасности, позволяет значительно снизить вероятность успешной компрометации. Имеет смысл выстроить устойчивый процесс управления патчами, включающий тестирование, поэтапное развертывание и постоянный аудит систем, чтобы каждое «вторник обновлений» становился плановой рутиной, а не аварийным реагированием.
