Лютневий цикл оновлень безпеки Microsoft (Patch Tuesday) 2026 року став одним із найважливіших за останні роки. Компанія випустила патчі для 58 уразливостей у продуктах Windows та Office, серед яких шість 0-day, уже використаних у реальних атаках або розкритих публічно. Паралельно запущена масштабна ротація сертифікатів Secure Boot, що вплине практично на всю екосистему Windows.
Лютневі оновлення безпеки Microsoft 2026: масштаби та пріоритети
Із 58 виправлених проблем п’ять класифіковано як критичні. Три з них пов’язані з підвищенням привілеїв, ще дві — з розкриттям конфіденційної інформації. Решта вразливостей отримали статус «важливих», але разом вони закривають широкий спектр векторів атак: від обходу вбудованих захистів до локального відмови в обслуговуванні (DoS).
За методологією Microsoft, до 0-day уразливостей відносять як баги, про які стало відомо до виходу патча, так і ті, для яких уже існують робочі експлойти. У лютому 2026 року усунено шість таких дір, три з них були публічно розкриті завчасно: CVE-2026-21510, CVE-2026-21514 та CVE-2026-21513. Це робить оновлення критично важливими для термінового розгортання в корпоративному середовищі.
Глобальна ротація сертифікатів Secure Boot у Windows
Окремий стратегічний крок Microsoft — поетапна заміна кореневих сертифікатів Secure Boot, які використовуються з 2011 року та втрачають чинність наприкінці червня 2026-го. Як відзначає керівництво підрозділу Windows Servicing, ці ключі після більш ніж півтора десятка років експлуатації досягли кінця життєвого циклу, тож екосистемі потрібна планова ротація довіри.
Secure Boot простими словами: як він захищає ланцюг завантаження
Secure Boot — це механізм UEFI, який перевіряє цифрові підписи завантажувачів та драйверів під час старту системи. Якщо код не підписаний довіреним сертифікатом або підпис підроблений, завантаження блокується. Таким чином Secure Boot унеможливлює запуск більшості буткітів та руткітів, які намагаються закріпитися ще до старту ядра Windows, і формує ланцюг довіри від прошивки до операційної системи.
За даними Microsoft, більшість ПК, що випускаються з 2024 року, уже постачаються з оновленими сертифікатами з заводу. Для частини наявних пристроїв потрібні оновлення UEFI‑прошивки від виробника. Важливий нюанс: нові сертифікати розгортаються лише на тих системах, які демонструють стабільну роботу після встановлення актуальних оновлень Windows.
Наслідки і ризики затримки з оновленням UEFI‑прошивок
Ігнорування оновлень прошивки може призвести до того, що застарілі сертифікати Secure Boot з часом спричинять проблеми із завантаженням або конфлікти з новими політиками безпеки. Для організацій це означає потенційні простої критичних сервісів та зростання витрат на аварійне відновлення.
Практичний підхід передбачає інвентаризацію парку обладнання, перевірку сайтів підтримки вендорів та впровадження контрольованого процесу оновлення UEFI: спочатку в тестовому середовищі, далі — поетапно в продуктиві. Доцільно документувати всі зміни та мати план відкату на випадок суміснісних проблем.
0-day у SmartScreen, MSHTML і Word: обходи вбудованих захистів
CVE-2026-21510 описує обхід захисних механізмів у Windows SmartScreen та Windows Shell. Експлойт дозволяє запустити шкідливий код без стандартних попереджень, якщо користувач відкриє спеціально підготовлене посилання або LNK‑файл. По суті, це обхід механізму Mark of the Web (MoTW), який помічає файли з Інтернету та виводить попередження про ризики.
CVE-2026-21513 стосується фреймворку MSHTML і також забезпечує обхід захисту. Для успіху атаки зловмисник має змусити жертву відкрити шкідливий HTML‑ або LNK‑файл. Детальна технічна інформація поки не розкривається, що типово для активно експлуатованих 0-day уразливостей.
CVE-2026-21514 зачіпає Microsoft Word і пов’язана з обходом захисту OLE в Microsoft 365 та Office. Після доставки шкідливого документа та його відкриття зловмисник може обійти блокування небезпечних COM/OLE‑контролів. Водночас через панель попереднього перегляду експлойт не спрацьовує, що дещо знижує ризик «пасивного» зараження під час перегляду електронної пошти.
У виявленні CVE-2026-21510 і CVE-2026-21514 брали участь фахівці Google Threat Intelligence Group (GTIG), внутрішні команди Microsoft і незалежний дослідник. CVE-2026-21513 також знайдена Microsoft спільно з GTIG. З огляду на фокус GTIG на комерційних шпигунських рішеннях та державних APT‑групах, імовірно, що ці 0-day уже застосовувалися в цільових кампаніях стеження.
Підвищення привілеїв і DoS: критичні кроки постексплуатації
CVE-2026-21519 — уразливість підвищення привілеїв у Desktop Window Manager (DWM). Успішна експлуатація дає атакувальнику права рівня SYSTEM, що робить цю дірку особливо цінною на етапі постексплуатації після початкового проникнення, наприклад, через фішинг або інші 0-day у користувацьких застосунках.
CVE-2026-21525 — DoS‑уразливість у Windows Remote Access Connection Manager, пов’язана з розіменуванням нульового вказівника. Вона дозволяє викликати локальний відмову в обслуговуванні й може використовуватися як елемент ланцюжка атак для виведення з ладу окремих вузлів. Експлойт до цієї проблеми виявили дослідники ACROS Security (0patch) у публічному репозиторії шкідливого ПЗ ще в грудні 2025 року, що свідчить про професійний рівень операторів.
CVE-2026-21533 — уразливість підвищення привілеїв у Windows Remote Desktop Services, виявлена компанією CrowdStrike. Експлойт змінює конфігураційний ключ служби, підміняючи його значенням, контрольованим атакувальником, що дозволяє додати нового користувача до групи локальних адміністраторів. Хоча конкретні кампанії поки не атрибутовані, експерти очікують сплеск активності навколо CVE-2026-21533 після появи публічних технік експлуатації.
Рекомендації з посилення захисту Windows‑інфраструктури
Організаціям варто в пріоритетному порядку розгорнути лютневі оновлення безпеки Windows і Office, починаючи з систем, доступних з Інтернету, серверів віддаленого робочого столу та робочих станцій з підвищеними привілеями. Доцільно обмежити запуск скриптів і LNK‑файлів, скоротити використання макросів Office, застосувати політики AppLocker чи інші механізми контролю застосунків.
Не менш важливо забезпечити моніторинг подій безпеки, пов’язаних зі зміною прав користувачів, налаштувань служб та політик Remote Desktop. Поєднання регулярного аналізу журналів, багаторівневого захисту кінцевих точок і контрольованого процесу управління патчами (тестування, поетапне розгортання, аудит) суттєво знижує ймовірність успішної компрометації.
Лютневий Patch Tuesday 2026 демонструє, що сучасні атаки дедалі частіше починаються з тонких обходів вбудованих засобів захисту, а завершуються непомітним підвищенням привілеїв усередині мережі. Своєчасне встановлення оновлень Windows та Office, оновлення UEFI‑прошивок і підтримка актуальної конфігурації Secure Boot мають стати рутинним процесом, а не реакцією на інциденти. Компаніям варто вже сьогодні переглянути свої політики управління вразливостями, аби кожен наступний день Patch Tuesday був плановим етапом підвищення кіберстійкості, а не кризовим випробуванням.
