Июньский Patch Tuesday 2026 стал рекордным по объёму: Microsoft устранила 206 уязвимостей в своих продуктах, из которых 39 получили статус Critical, а 167 — Important. Среди исправлений — три публично раскрытых zero-day (CVE-2026-50507, CVE-2026-49160, CVE-2026-45586) и сразу три критических уязвимости удалённого выполнения кода с максимальной оценкой CVSS 9.8, не требующие аутентификации и взаимодействия с пользователем. Администраторам Windows-инфраструктуры необходимо приоритизировать установку обновлений, особенно на системах с DHCP-сервисами, веб-серверах IIS и контроллерах домена.
Критические уязвимости удалённого выполнения кода
Наиболее опасной уязвимостью выпуска является CVE-2026-45657 (CVSS 9.8) — ошибка типа use-after-free в ядре Windows. Атакующий может отправить специально сформированный сетевой трафик на уязвимую систему, эксплуатируя некорректную обработку данных TCP/IP в ядре. Успешная эксплуатация приводит к выполнению произвольного кода с привилегиями SYSTEM без необходимости аутентификации или какого-либо взаимодействия с пользователем.
Две другие критические уязвимости затрагивают ключевые сетевые компоненты Windows:
- CVE-2026-47291 (CVSS 9.8) — целочисленное переполнение в Windows HTTP.sys, позволяющее неаутентифицированному атакующему выполнить код удалённо через сеть.
- CVE-2026-44815 (CVSS 9.8) — переполнение буфера на стеке в Windows DHCP Client, также приводящее к удалённому выполнению кода без аутентификации.
Уязвимость в DHCP-клиенте заслуживает особого внимания: по данным аналитиков Action1, для её эксплуатации не требуются учётные данные или действия пользователя — достаточно отправить специально сформированный сетевой трафик на систему, использующую DHCP-сервисы. Поскольку DHCP является базовой сетевой функцией, успешная эксплуатация может привести к компрометации сервера, развёртыванию вредоносного ПО, краже данных и горизонтальному перемещению внутри сети.
Три публично раскрытых zero-day
Microsoft подтвердила, что три уязвимости были публично раскрыты до выхода патчей:
- CVE-2026-50507 (CVSS 6.8) — обход защиты BitLocker Device Encryption. По оценке исследователя Will Dormann, данная уязвимость предположительно связана с техникой обхода шифрования, известной в сообществе как bitskrieg, позволяющей получить полный доступ к зашифрованным данным. Для эксплуатации требуется физический доступ к устройству.
- CVE-2026-49160 (CVSS 7.5) — уязвимость отказа в обслуживании в HTTP.sys, связанная с техникой атаки HTTP2/Bomb. По данным исследователей Calif, в ходе тестирования IIS-сервер исчерпывал 64 ГБ оперативной памяти примерно за 45 секунд.
- CVE-2026-45586 (CVSS 7.8) — повышение привилегий в Windows Collaborative Translation Framework (CTFMON).
Важно подчеркнуть: ни одна из этих уязвимостей на данный момент не внесена в каталог CISA KEV, и Microsoft не сообщает о подтверждённой эксплуатации в реальных атаках. Однако наличие публичных PoC-эксплойтов существенно повышает вероятность их использования злоумышленниками в ближайшее время.
Обходы BitLocker и новая митигация для HTTP/2
Помимо CVE-2026-50507, Microsoft устранила ещё несколько уязвимостей обхода средств защиты, связанных с BitLocker:
- CVE-2026-45585 (CVSS 6.8) — обход BitLocker, для которого существует публичный PoC-эксплойт.
- CVE-2026-45658 (CVSS 7.8) и CVE-2026-45655 (CVSS 5.3) — дополнительные обходы шифрования BitLocker.
Все уязвимости BitLocker требуют физического доступа к целевому устройству, что ограничивает круг потенциальных атакующих, но делает их критически важными для организаций, работающих с конфиденциальными данными на мобильных устройствах.
Для противодействия атакам типа HTTP2/Bomb Microsoft ввела новый параметр реестра MaxHeadersCount, ограничивающий количество заголовков в запросах HTTP/2 и HTTP/3. Это помогает защитить серверы от чрезмерного потребления памяти и процессорных ресурсов.
Исправление шестилетней уязвимости MiniPlasma
Отдельного внимания заслуживает обновление для CVE-2020-17103 — уязвимости, первоначально исправленной в декабре 2020 года. Microsoft признала, что предыдущий патч был неполным, и рекомендовала установить июньские обновления 2026 года для полного устранения проблемы, публично именуемой MiniPlasma.
Общая картина: распределение по типам
Из 206 уязвимостей по типам распределение следующее: 63 — повышение привилегий, 56 — удалённое выполнение кода, 30 — раскрытие информации, 27 — спуфинг, 20 — обход средств защиты, 7 — отказ в обслуживании, 3 — подмена данных. Дополнительно в выпуск включены два CVE сторонних компонентов: CVE-2025-10263 (повышение привилегий в ядре Windows) и CVE-2026-8863 (обход UEFI Secure Boot).
Рекомендации по приоритизации
Учитывая объём и критичность выпуска, рекомендуется следующий порядок действий:
- Немедленно — патчить системы, обрабатывающие DHCP-трафик, веб-серверы IIS и системы, доступные из сети, для устранения CVE-2026-45657, CVE-2026-47291 и CVE-2026-44815 (все CVSS 9.8).
- В течение 24-48 часов — применить обновления для публично раскрытых zero-day: CVE-2026-50507, CVE-2026-49160 и CVE-2026-45586, для которых существуют PoC-эксплойты.
- Для IIS-серверов — настроить параметр реестра MaxHeadersCount для ограничения заголовков HTTP/2 и HTTP/3 в качестве дополнительной меры защиты от атак на HTTP.sys.
- Для мобильных устройств — обновить системы с BitLocker для устранения обходов шифрования, особенно на ноутбуках сотрудников, работающих удалённо.
- Убедиться, что обновление для CVE-2020-17103 (MiniPlasma) установлено, даже если предыдущий патч 2020 года был применён.
Рекордный объём июньского Patch Tuesday — 206 уязвимостей, три из которых уже раскрыты публично с доступными PoC-эксплойтами — требует от команд безопасности ускоренного цикла тестирования и развёртывания обновлений. Три уязвимости с CVSS 9.8, эксплуатируемые через сетевой трафик без аутентификации, создают реальный риск массовой компрометации для организаций, откладывающих патчинг. Начните с сетевых компонентов — ядра Windows, HTTP.sys и DHCP-клиента — и настройте параметр MaxHeadersCount на всех IIS-серверах до завершения полного цикла обновлений.
