Червневий Patch Tuesday 2026 став рекордним за обсягом: Microsoft усунула 206 вразливостей у своїх продуктах, з яких 39 отримали статус Critical, а 167 — Important. Серед виправлень — три публічно розкриті zero-day (CVE-2026-50507, CVE-2026-49160, CVE-2026-45586) і одразу три критичні вразливості віддаленого виконання коду з максимальною оцінкою CVSS 9.8, які не потребують автентифікації та взаємодії з користувачем. Адміністраторам Windows-інфраструктури необхідно пріоритезувати встановлення оновлень, особливо на системах з DHCP-сервісами, веб-серверах IIS і контролерах домену.
Критичні вразливості віддаленого виконання коду
Найнебезпечнішою вразливістю цього випуску є CVE-2026-45657 (CVSS 9.8) — помилка типу use-after-free в ядрі Windows. Зловмисник може надіслати спеціально сформований мережевий трафік на вразливу систему, експлуатуючи некоректну обробку даних TCP/IP у ядрі. Успішна експлуатація призводить до виконання довільного коду з привілеями SYSTEM без потреби в автентифікації або будь-якій взаємодії з користувачем.
Дві інші критичні вразливості зачіпають ключові мережеві компоненти Windows:
- CVE-2026-47291 (CVSS 9.8) — цілочислове переповнення в Windows HTTP.sys, яке дає змогу неавтентифікованому зловмиснику виконати код віддалено через мережу.
- CVE-2026-44815 (CVSS 9.8) — переповнення буфера на стеку в Windows DHCP Client, що також призводить до віддаленого виконання коду без автентифікації.
Вразливість у DHCP-клієнті заслуговує на особливу увагу: за даними аналітиків Action1, для її експлуатації не потрібні облікові дані чи дії користувача — достатньо надіслати спеціально сформований мережевий трафік на систему, що використовує DHCP-сервіси. Оскільки DHCP є базовою мережевою функцією, успішна експлуатація може призвести до компрометації сервера, розгортання зловмисного ПЗ, викрадення даних і горизонтального переміщення всередині мережі.
Три публічно розкриті zero-day
Microsoft підтвердила, що три вразливості були публічно розкриті до виходу патчів:
- CVE-2026-50507 (CVSS 6.8) — обхід захисту BitLocker Device Encryption. За оцінкою дослідника Will Dormann, ця вразливість імовірно пов’язана з технікою обходу шифрування, відомою в спільноті як bitskrieg, яка дає змогу отримати повний доступ до зашифрованих даних. Для експлуатації потрібен фізичний доступ до пристрою.
- CVE-2026-49160 (CVSS 7.5) — вразливість відмови в обслуговуванні в HTTP.sys, пов’язана з технікою атаки HTTP2/Bomb. За даними дослідників Calif, під час тестування IIS-сервер вичерпував 64 ГБ оперативної пам’яті приблизно за 45 секунд.
- CVE-2026-45586 (CVSS 7.8) — підвищення привілеїв у Windows Collaborative Translation Framework (CTFMON).
Варто наголосити: жодна з цих вразливостей на цей момент не внесена до каталогу CISA KEV, і Microsoft не повідомляє про підтверджену експлуатацію в реальних атаках. Однак наявність публічних PoC експлойтів суттєво підвищує ймовірність їх використання зловмисниками в найближчий час.
Обходи BitLocker і нова мітируюча міра для HTTP/2
Окрім CVE-2026-50507, Microsoft усунула ще кілька вразливостей обходу засобів захисту, пов’язаних з BitLocker:
- CVE-2026-45585 (CVSS 6.8) — обхід BitLocker, для якого існує публічний PoC експлойт.
- CVE-2026-45658 (CVSS 7.8) і CVE-2026-45655 (CVSS 5.3) — додаткові обходи шифрування BitLocker.
Усі вразливості BitLocker вимагають фізичного доступу до цільового пристрою, що обмежує коло потенційних зловмисників, але робить їх критично важливими для організацій, які працюють із конфіденційними даними на мобільних пристроях.
Для протидії атакам типу HTTP2/Bomb Microsoft запровадила новий параметр реєстру MaxHeadersCount, що обмежує кількість заголовків у запитах HTTP/2 та HTTP/3. Це допомагає захистити сервери від надмірного споживання пам’яті та процесорних ресурсів.
Виправлення шестирічної вразливості MiniPlasma
Окремої уваги заслуговує оновлення для CVE-2020-17103 — вразливості, яку вперше було виправлено в грудні 2020 року. Microsoft визнала, що попередній патч був неповним, і рекомендувала встановити червневі оновлення 2026 року для повного усунення проблеми, публічно відомої як MiniPlasma.
Загальна картина: розподіл за типами
Із 206 вразливостей розподіл за типами такий: 63 — підвищення привілеїв, 56 — віддалене виконання коду, 30 — розкриття інформації, 27 — спуфінг, 20 — обхід засобів захисту, 7 — відмова в обслуговуванні, 3 — підміна даних. Додатково у випуск включено два CVE сторонніх компонентів: CVE-2025-10263 (підвищення привілеїв у ядрі Windows) і CVE-2026-8863 (обхід UEFI Secure Boot).
Рекомендації з пріоритизації
З огляду на обсяг і критичність випуску, рекомендується такий порядок дій:
- Негайно — оновити системи, що обробляють DHCP-трафік, веб-сервери IIS і системи, доступні з мережі, щоб усунути CVE-2026-45657, CVE-2026-47291 і CVE-2026-44815 (усі CVSS 9.8).
- Упродовж 24–48 годин — застосувати оновлення для публічно розкритих zero-day: CVE-2026-50507, CVE-2026-49160 і CVE-2026-45586, для яких існують PoC експлойти.
- Для IIS-серверів — налаштувати параметр реєстру MaxHeadersCount для обмеження заголовків HTTP/2 та HTTP/3 як додаткову захисну міру від атак на HTTP.sys.
- Для мобільних пристроїв — оновити системи з BitLocker для усунення обходів шифрування, особливо на ноутбуках співробітників, що працюють віддалено.
- Переконатися, що оновлення для CVE-2020-17103 (MiniPlasma) встановлено, навіть якщо попередній патч 2020 року вже було застосовано.
Рекордний обсяг червневого Patch Tuesday — 206 вразливостей, три з яких уже розкриті публічно з доступними PoC експлойтами — вимагає від команд безпеки пришвидшеного циклу тестування та розгортання оновлень. Три вразливості з CVSS 9.8, які експлуатуються через мережевий трафік без автентифікації, створюють реальний ризик масової компрометації для організацій, що відкладають встановлення патчів. Почніть із мережевих компонентів — ядра Windows, HTTP.sys і DHCP-клієнта — та налаштуйте параметр MaxHeadersCount на всіх IIS-серверах до завершення повного циклу оновлень.
