У січневий Patch Tuesday Microsoft випустила оновлення безпеки, які закривають дві небезпечні уразливості в драйвері ntfs.sys — ключовому компоненті, що відповідає за роботу файлової системи NTFS у всіх сучасних версіях Windows. Обидві помилки, виявлені фахівцем Positive Technologies Сергієм Тарасовим, дають змогу зловмиснику виконати локальну ескалацію привілеїв до рівня SYSTEM і повністю контролювати скомпрометовану систему після початкового зламу.
Уразливості NTFS у Windows: масштаб проблеми та затронуті версії
Патчі отримали 37 редакцій Windows, включно з Windows 10, Windows 11, а також серверними версіями Windows Server 2019, 2022 і майбутньою Windows Server 2025. Це підкреслює критичність ситуації: NTFS є файловою системою за замовчуванням для більшості робочих станцій і серверів Windows, а драйвер ntfs.sys працює в режимі ядра з максимальними привілеями.
Обидві уразливості отримали оцінку 7,8 за шкалою CVSS, що відповідає високому рівню ризику. Формально це локальні вразливості, однак саме такі помилки найчастіше використовуються як наступний крок у багатоступеневих атаках після первинного проникнення в інфраструктуру.
Технічний розбір: як працюють CVE-2026-20840 та CVE-2026-20922
CVE-2026-20840: heap-based buffer overflow при обробці VHD
Уразливість CVE-2026-20840 належить до класу heap-based buffer overflow — переповнення буфера в динамічній пам’яті. Помилка пов’язана з некоректною обробкою віртуальних жорстких дисків (VHD). Під час аналізу спеціально сформованого VHD-файла драйвер ntfs.sys міг записати дані за межі виділеного буфера.
Для експлуатації атакувальнику потрібен вже наявний доступ до системи (наприклад, через шкідливе ПЗ або скомпрометований обліковий запис). Після цього він може подати в систему шкідливий VHD, ініціювати його обробку й досягти запису довільних даних у пам’ять ядра. Такий сценарій відкриває шлях до отримання прав SYSTEM і виконання довільного коду на рівні операційної системи.
CVE-2026-20922: недостатня валідація таблиць розділів
Уразливість CVE-2026-20922 також оцінена в 7,8 по CVSS і пов’язана з недостатньою перевіркою структур даних у коді ntfs.sys. Драйвер не виконував повноцінну валідацію таблиць розділів, що дозволяло створити спеціально підготовлений розділ і спровокувати некоректну роботу драйвера.
Як і у випадку з CVE-2026-20840, успішна експлуатація призводила до ескалації привілеїв до рівня SYSTEM. У результаті зловмисник отримував змогу непомітно встановлювати шкідливе ПЗ, отримувати доступ до будь-яких файлів на диску, змінювати налаштування безпеки та обходити механізми контролю доступу.
Практичні сценарії атак: чому локальні уразливості ядра небезпечні
Ключовий нюанс: обидві уразливості потребують локального доступу. Вони рідко слугують “точкою входу”, але надзвичайно цінні як інструмент подальшого закріплення. Типовий ланцюжок виглядає так: фішинг або експлойт у додатку дає атакувальнику початкові права користувача, після чого в хід ідуть уразливості ядра на кшталт ntfs.sys для отримання повного контролю над системою.
У корпоративних мережах такі баги особливо небезпечні. Отримавши права SYSTEM на одній машині, зловмисник може:
- відключати або обходити вбудовані засоби захисту Windows та антивірусні рішення;
- витягувати облікові дані інших користувачів і адміністраторів із пам’яті системи;
- використовувати захоплену станцію як плацдарм для lateral movement і подальшого проникнення в доменну інфраструктуру;
- маскувати присутність шкідливого ПЗ, ускладнюючи реагування на інцидент і форензичний аналіз.
Галузеві звіти з кібербезпеки (зокрема Microsoft, Mandiant, Verizon DBIR) регулярно фіксують використання локальних уразливостей ядра Windows у наборі інструментів APT-груп та кіберзлочинних угруповань для обходу засобів захисту та песочниць.
Рекомендації: патч-менеджмент і тимчасове зниження ризиків
Основний крок для всіх організацій і приватних користувачів — якнайшвидше встановити січневі оновлення безпеки Microsoft для всіх підтримуваних версій Windows 10, Windows 11 та Windows Server. У корпоративному середовищі це оновлення слід включити в стандартний процес patch management і проконтролювати фактичне застосування патчів на всіх кінцевих точках.
Якщо оперативне оновлення неможливе, варто запровадити додаткові обмеження, що зменшують площу атаки:
- мінімізувати використання VHD та інших віртуальних дисків, особливо отриманих із зовнішніх або неперевірених джерел;
- обмежити можливість самостійного монтування образів дисків звичайними користувачами;
- посилити моніторинг операцій зі зміною розділів і роботою з образами дисків у системах журналювання та SIEM;
- регулярно перевіряти системи на наявність шкідливого ПЗ, яке може експлуатувати локальні уразливості для підвищення привілеїв;
- переглянути модель доступу, впроваджуючи принцип найменших привілеїв і багатофакторну аутентифікацію для критичних акаунтів.
Уразливості в базових компонентах на кшталт драйвера файлової системи NTFS наочно показують, чому регулярне оновлення Windows і дисципліна управління патчами лишаються одним із найефективніших способів зниження кіберризиків. Чим складніше зловмиснику отримати початковий доступ і підвищити привілеї, тим нижчою є ймовірність успішної експлуатації помилок ядра. Саме зараз доречно перевірити, чи оновлені всі критичні сервери й робочі станції, посилити контроль за доступом до носіїв даних і продовжити навчання співробітників безпечній роботі з файлами та вкладеннями.
