Microsoft Patch Tuesday vasaris 2026: 6 nulinės dienos spragos

„Microsoft“ išleido vasario mėnesio saugumo atnaujinimus, ištaisančius 58 pažeidžiamumus, tarp kurių – šešios aktyviai kibernetinių nusikaltėlių išnaudojamos nulinės dienos spragos „Windows“, „Office“ ir „Remote Desktop“ komponentuose. Tarp netikėtų pažeidžiamumų – ir „Notepad“ programa, kurios modernizacija atvėrė kelią nuotolinio kodo vykdymo atakai.

Šeši pavojai, kurie jau buvo išnaudojami

Kiekvieną antrąjį mėnesio antradienį IT administratoriai visame pasaulyje laukia „Microsoft" saugumo atnaujinimų – vadinamojo „Patch Tuesday". Šį kartą, vasario 10 dieną, „Microsoft" pateikė itin svarbų atnaujinimų paketą: ištaisyti 58 pažeidžiamumai, iš kurių net šeši yra aktyviai išnaudojamos nulinės dienos spragos (angl. zero-day). Tai reiškia, kad kibernetiniai nusikaltėliai šias spragas jau naudojo atakoms prieš „Microsoft" tai spėjo ištaisyti.

Pažeidžiamumai paveikė platų produktų spektrą: „Windows" operacinę sistemą, „Microsoft Office" paketą, „Azure" debesijos paslaugas, „Remote Desktop Services", „Exchange Server", „Edge" naršyklę, „GitHub Copilot" ir net „Hyper-V" virtualizacijos platformą. Penki pažeidžiamumai buvo įvertinti kaip kritiniai, o likę – kaip svarbūs.

Nulinės dienos spragos: detalus žvilgsnis

Visos šešios nulinės dienos spragos buvo aktyviai išnaudojamos, o trys iš jų buvo viešai atskleistos dar prieš „Microsoft" pataisymą. Pažvelkime į kiekvieną iš jų:

Saugumo funkcijų apėjimo spragos

CVE-2026-21510 – „Windows Shell" saugumo apėjimas. Ši spraga leidžia atakuotojams apeiti „Windows SmartScreen" ir „Windows Shell" saugumo perspėjimus, vykdant failus be jokio naudotojo įspėjimo ar sutikimo. Praktiškai tai reiškia, kad kenkėjiški failai gali būti paleisti tyliai – naudotojas net nepamatys įprasto saugumo dialogo lango. Spragą atrado „Microsoft" grėsmių žvalgybos centras (MSTIC), „Microsoft" saugumo reagavimo centras (MSRC), „Office" produktų saugumo komanda ir „Google Threat Intelligence Group".

CVE-2026-21513 – MSHTML sistemos apsaugos mechanizmo klaida. Ši spraga paveikia „Internet Explorer" / MSHTML komponentą ir leidžia neteisėtiems atakuotojams apeiti saugumo priemones per tinklą, naudojant kenkėjiškus HTML failus ar nuorodas. Nors „Internet Explorer" oficialiai nebepalaikomas, MSHTML variklis vis dar naudojamas daugelyje „Windows" komponentų.

CVE-2026-21514 – „Microsoft Word" OLE apsaugos apėjimas. Atakuotojas gali sukurti kenkėjišką „Office" failą, kuris apeina OLE (Object Linking and Embedding) saugumo priemones „Microsoft 365" aplinkoje. Ataka reikalauja, kad naudotojas atidarytų kenkėjišką dokumentą – todėl ši spraga ypač pavojinga fišingo kampanijose.

Privilegijų padidinimo ir paslaugų trikdymo spragos

CVE-2026-21519 – „Desktop Window Manager" privilegijų padidinimas. Ši spraga leidžia atakuotojui, jau turinčiam prieigą prie sistemos, pakelti savo teises iki SYSTEM lygio – aukščiausio „Windows" privilegijų lygio. Tai atrado MSTIC ir MSRC komandos.

CVE-2026-21525 – „Windows Remote Access Connection Manager" paslaugos trikdymas. Dėl nulinės rodyklės klaidos (angl. null pointer dereference) neprivilegijuotas naudotojas gali sukelti RAS Connection Manager paslaugos gedimą. Saugumo ekspertai perspėja, kad tai kelia ypatingą pavojų organizacijoms, naudojančioms nuolatinio VPN (angl. always-on VPN) infrastruktūrą – paslaugos gedimas gali sukelti kaskadines tinklo sutrikimus, paveikiančias visą aplinkos veikimą. Spragą aptiko ACROS Security / 0patch komanda, o išnaudojimo kodas buvo rastas viešoje kenkėjiškos programinės įrangos saugykloje.

CVE-2026-21533 – „Windows Remote Desktop Services" privilegijų padidinimas (CVSS 7.8). Tai bene pavojingiausia šio mėnesio spraga. Atakuotojas gali modifikuoti paslaugos konfigūracijos raktą, pakeisdamas jį atakuotojo kontroliuojamu raktu, ir taip pakelti privilegijas iki administratoriaus lygio – pridėti naują naudotoją prie Administratorių grupės. „CrowdStrike" tyrimų komanda atskleidė, kad ši spraga buvo aktyviai išnaudojama nuo 2025 m. gruodžio 24 d. – tai yra beveik pusantro mėnesio iki oficialaus pataisymo. Taikiniais tapo JAV ir Kanados organizacijos.

„Notepad" modernizacija atvėrė netikėtą atakos kelią

Šalia šešių nulinės dienos spragų dėmesį patraukė ir kitas pažeidžiamumas – CVE-2026-20841, paveikiantis „Windows 11 Notepad" programą. Šis nuotolinio kodo vykdymo (RCE) pažeidžiamumas gavo CVSS 8.8 balą – aukštą rizikos įvertinimą.

Ironiška, bet ši spraga atsirado būtent dėl „Notepad" modernizacijos. Klasikinis „Notepad" dešimtmečius buvo laikomas viena saugiausių „Windows" programų – paprastas teksto redaktorius be jokių sudėtingų funkcijų. Tačiau „Microsoft" nusprendė pridėti „Markdown" atvaizdavimo ir interaktyvių nuorodų palaikymą, ir tai dramatiška prasiplėtė atakos paviršius.

Atakuotojas gali sukurti kenkėjišką „Markdown" failą su specialiai suformatuotomis nuorodomis, kurios, naudotojui spustelėjus, aktyvuoja nepatvirtintus protokolų tvarkytojus ir leidžia vykdyti nuotolinį kodą. Tai puikiai tinka fišingo kampanijoms – užtenka nusiųsti „.md" failą ir palaukti, kol auka jį atidarys bei spustelės nuorodą.

„Microsoft" atvejis puikiai iliustruoja fundamentalią programinės įrangos saugumo tiesą: kiekviena nauja funkcija yra potencialus naujas pažeidžiamumo vektorius. Net nekaltai atrodantis teksto redaktorius gali tapti atakos įrankiu, jei jo galimybės prasiplečia be tinkamo saugumo audito.

Bendras pažeidžiamumų vaizdas

Vasario „Patch Tuesday" ištaisytus 58 pažeidžiamumus galima suskirstyti į šias kategorijas:

Privilegijų padidinimas (EoP) – 25 pažeidžiamumai (43 % visų) – dominuojanti kategorija
Nuotolinio kodo vykdymas (RCE) – 12 pažeidžiamumų (21 %)
Tapatybės klastojimas (Spoofing) – 7 pažeidžiamumai
Informacijos atskleidimas – 6 pažeidžiamumai
Saugumo funkcijų apėjimas – 5 pažeidžiamumai
Paslaugų trikdymas (DoS) – 3 pažeidžiamumai

Privilegijų padidinimo spragų dominavimas rodo, kad atakuotojai vis dažniau orientuojasi į jau pažeistų sistemų gilesnį kompromitavimą – gavę pradinę prieigą, jie siekia kuo aukštesnių teisių.

„Secure Boot" sertifikatų atnaujinimas

Kartu su saugumo pataisymais „Microsoft" pradėjo platinti atnaujintus „Secure Boot" sertifikatus, kurie pakeis originalius 2011 metų sertifikatus, baigsiančius galioti 2026 m. birželio pabaigoje. Tai svarbus infrastruktūrinis pokytis, kuris gali paveikti senesnių sistemų paleidimo procesus, todėl IT administratoriams rekomenduojama iš anksto suplanuoti perėjimą.

Ką daryti organizacijoms?

Saugumo ekspertai rekomenduoja nedelsti su atnaujinimais ir prioritetizuoti pagal riziką:

Pirmasis prioritetas – ištaisyti CVE-2026-21533 (Remote Desktop Services) ir CVE-2026-21525 (RAS Connection Manager), nes šios spragos kelia tiesioginę grėsmę tinklo infrastruktūrai ir gali sukelti kaskadinius gedimus.
Antrasis prioritetas – CVE-2026-21510, CVE-2026-21513 ir CVE-2026-21514, kurios apeina saugumo perspėjimus ir yra ypač pavojingos fišingo atakose.
Trečiasis prioritetas – CVE-2026-20841 („Notepad" RCE), ypač organizacijose, kuriose naudotojai dirba su „Markdown" failais.

Be to, organizacijos turėtų peržiūrėti savo „Remote Desktop Services" konfigūracijas, nes CVE-2026-21533 buvo aktyviai išnaudojama beveik pusantro mėnesio prieš pataisymą. Gali būti, kad kai kurios sistemos jau buvo pažeistos – rekomenduojama atlikti kompromiso indikatorių (IoC) paiešką.

Vasario „Patch Tuesday" dar kartą primena: nuolatinis sistemų atnaujinimas ir aktyvus pažeidžiamumų valdymas nėra prabanga – tai būtinybė šiuolaikinėje kibernetinių grėsmių aplinkoje.

„Microsoft“ vasario „Patch Tuesday“: ištaisytos 6 aktyviai išnaudojamos nulinės dienos spragos ir 58 pažeidžiamumai