1. Введение: февраль 2026 — один из худших Patch Tuesday за годы
10 февраля 2026 года Microsoft выпустила февральский пакет обновлений безопасности, который немедленно попал в заголовки крупнейших ИБ-изданий. Причина — одновременное закрытие сразу шести активно эксплуатируемых уязвимостей нулевого дня. Такое в истории Patch Tuesday случается нечасто: обычно «живых» 0-day в одном пакете бывает одна, максимум три.
Всего в февральском пакете закрыто 58 уязвимостей, пять из которых получили статус «Критические». Но именно шесть 0-day стали главным поводом для тревоги — они уже использовались злоумышленниками в реальных атаках до выхода патчей. CISA (Агентство по кибербезопасности США) добавило все шесть в каталог известных эксплуатируемых уязвимостей (KEV) и потребовало от федеральных агентств установить исправления до 3 марта 2026 года.
Среди закрытых проблем — 25 уязвимостей повышения привилегий, 12 уязвимостей удалённого выполнения кода, 5 обходов защитных механизмов, 6 уязвимостей раскрытия информации, 3 отказа в обслуживании и 7 уязвимостей подмены (спуфинга). Охват впечатляет: затронуты Windows 10, Windows 11, Windows Server 2012 и новее, Microsoft Office, Microsoft Word, компоненты Remote Desktop и Remote Access.
Важный контекст для российских пользователей: специалисты ACROS Security зафиксировали, что код для эксплуатации одной из уязвимостей (CVE-2026-21525) находился в открытом публичном хранилище вредоносных программ ещё с декабря 2025 года — за два месяца до выхода официального патча. CrowdStrike, обнаружившая CVE-2026-21533, сообщила, что эксплойт уже применялся в реальных атаках на цели в США. Подобный уровень угрозы требует немедленного реагирования.
Эта статья разбирает каждую из шести уязвимостей детально — что именно происходит при эксплуатации, кому угрожает, насколько сложно взломать — и даёт конкретные инструкции по устранению для домашних пользователей, IT-специалистов и корпоративных администраторов.
> *Статья носит образовательный характер. Все данные основаны на публично доступных бюллетенях безопасности Microsoft, отчётах CrowdStrike, Malwarebytes, Cisco Talos и других авторитетных ИБ-компаний.*
Содержание
1. Введение: февраль 2026 — один из худших Patch Tuesday за годы
2. Что такое 0-day и почему это опаснее обычных уязвимостей
3. Полный список: 6 активно эксплуатируемых 0-day февраля 2026
4. CVE-2026-21510: обход Windows SmartScreen через ярлык
5. CVE-2026-21513: обход защиты MSHTML Framework
6. CVE-2026-21514: обход OLE-защиты в Microsoft Word
7. CVE-2026-21519: повышение привилегий до SYSTEM в Desktop Window Manager
8. CVE-2026-21525: отказ в обслуживании Windows Remote Access
9. CVE-2026-21533: захват Remote Desktop Services и добавление в администраторы
10. Дополнительно: критические уязвимости вне топ-6
11. Как проверить, установлены ли патчи: пошаговая инструкция
12. Как установить обновления вручную: все способы
13. Что делать, если патч вызвал бесконечную перезагрузку KB5077181
14. Корпоративная защита: приоритизация и развёртывание через WSUS/Intune
15. FAQ: 12 вопросов про 0-day в Windows 2026
16. Чек-лист: экспресс-аудит защищённости системы за 10 минут
17. Заключение и теги
2. Что такое 0-day и почему это опаснее обычных уязвимостей
Прежде чем перейти к конкретным CVE, важно понять, чем 0-day принципиально отличается от «обычной» уязвимости — и почему реакция на него должна быть немедленной.
Определение 0-day по классификации Microsoft
Microsoft официально относит уязвимость к категории «нулевого дня» в двух случаях. Первый: информация об уязвимости была публично раскрыта до выхода патча — то есть потенциальные злоумышленники знали о ней раньше, чем Microsoft успела её закрыть. Второй: уязвимость активно эксплуатируется в реальных атаках до выхода исправления.
Оба сценария означают одно: период времени, когда система находилась под угрозой при отсутствии средств защиты, уже прошёл или всё ещё идёт. В отличие от «обычных» уязвимостей, где злоумышленники узнают о проблеме только после публикации патча, при 0-day готовый код для атаки существует уже в момент выхода патча или даже раньше.
Жизненный цикл 0-day атаки
Типичная схема: исследователь или злоумышленник обнаруживает уязвимость. Злоумышленник разрабатывает эксплойт и использует его в атаках. Microsoft разрабатывает патч и выпускает его в очередной Patch Tuesday. После выхода патча информация о уязвимости становится публичной, что провоцирует новую волну атак — теперь уже от широкого круга злоумышленников.
Временной фактор: почему патчить нужно немедленно
По данным исследований, массовые атаки на только что раскрытые уязвимости начинаются в течение 24-48 часов после выхода патча. Для 0-day с активной эксплуатацией этот период начинается ещё до выхода патча. Из шести февральских 0-day три были раскрыты публично ещё до выхода исправлений.
3. Полный список: 6 активно эксплуатируемых 0-day февраля 2026
Ниже — сводная таблица по всем шести уязвимостям нулевого дня, закрытым в февральском Patch Tuesday 2026. Данные взяты из официального бюллетеня Microsoft MSRC, отчётов CrowdStrike, Malwarebytes и Cisco Talos Intelligence.
| CVE | Компонент | Тип | CVSS | Публично раскрыта | Кто нашёл |
|---|---|---|---|---|---|
| CVE-2026-21510 | Windows Shell / SmartScreen | Обход защиты | 8.8 | Да | MSTIC, Google GTIG |
| CVE-2026-21513 | MSHTML Framework | Обход защиты | 8.8 | Да | MSTIC, Google GTIG |
| CVE-2026-21514 | Microsoft Word / OLE | Обход защиты | 5.5 | Да | MSTIC, Google GTIG |
| CVE-2026-21519 | Desktop Window Manager | Повышение привилегий | 7.8 | Нет | MSTIC, MSRC |
| CVE-2026-21525 | Windows RasMan | Отказ в обслуживании | 6.2 | Нет | ACROS Security / 0patch |
| CVE-2026-21533 | Windows Remote Desktop | Повышение привилегий | 7.8 | Нет | CrowdStrike |
Приоритет установки патчей:
Первый приоритет (24 часа): CVE-2026-21510, CVE-2026-21513 — CVSS 8.8, не требуют прав на системе.
Второй приоритет (48-72 часа): CVE-2026-21519, CVE-2026-21533 — повышение привилегий до SYSTEM.
Третий приоритет (стандартный цикл): CVE-2026-21514, CVE-2026-21525.
Затронутые продукты: Windows 10 (все поддерживаемые версии), Windows 11 (22H2, 23H2, 24H2, 25H2, 26H1), Windows Server 2012 R2 и новее, Microsoft Office 2016 и Microsoft 365.
4. CVE-2026-21510: обход Windows SmartScreen через ярлык
Что это такое
CVE-2026-21510 — уязвимость обхода защитных функций в Windows Shell и Windows SmartScreen с оценкой CVSS 8.8. Это одна из наиболее опасных уязвимостей февральского пакета с точки зрения простоты эксплуатации — злоумышленнику не нужен никакой предварительный доступ к системе.
Технический механизм
В основе уязвимости лежит некорректная обработка меток Mark of the Web (MoTW) в компонентах Windows Shell. MoTW — это механизм безопасности Windows, который отмечает файлы, загруженные из интернета, специальным атрибутом (Zone.Identifier в NTFS Alternate Data Stream). При открытии таких файлов Windows SmartScreen показывает пользователю предупреждение об опасности.
CVE-2026-21510 позволяет злоумышленнику создать специально сформированный файл ярлыка (.lnk) или ссылку таким образом, что механизм MoTW не срабатывает. Пользователь не видит предупреждений SmartScreen, вредоносный контент запускается без каких-либо предостережений. По классификации CrowdStrike, атакующий действует удалённо, без каких-либо прав на целевой машине — единственное, что требуется, убедить пользователя открыть специально подготовленный файл.
Сценарий реальной атаки
Злоумышленник отправляет жертве письмо с вложением в виде файла .lnk под видом счёта или ссылки на «обновление программы». Жертва открывает файл. Обычно в этот момент SmartScreen должен показать предупреждение. Благодаря CVE-2026-21510 предупреждения нет — вредоносный код выполняется напрямую.
Как закрыть
Установить обновление KB5077181 для Windows 11 24H2/25H2 или KB5075912 для Windows 10 22H2.
Временный митигейшн до установки патча: не открывать .lnk-файлы и ссылки из писем; в корпоративной среде — запретить запуск .lnk через AppLocker. Убедиться, что Microsoft Defender работает с актуальными базами.
5. CVE-2026-21513: обход защиты MSHTML Framework
Что это такое
CVE-2026-21513 — уязвимость обхода защитного механизма в MSHTML Framework с оценкой CVSS 8.8. MSHTML (Trident) — движок рендеринга HTML, используемый рядом компонентов Windows для отображения веб-контента в приложениях, почтовых клиентах и Office. Несмотря на официальное прекращение Internet Explorer, компоненты MSHTML по-прежнему активно работают в системе.
Технический механизм
По данным CrowdStrike, уязвимость позволяет злоумышленнику без каких-либо привилегий обойти защитные механизмы через сеть. Атака реализуется через убеждение пользователя открыть специально сформированный HTML-файл или файл ярлыка (.lnk). Специально созданные файлы манипулируют обработкой контента браузером и Windows Shell — в результате операционная система запускает содержимое без надлежащих предупреждений безопасности. По описанию CrowdStrike, это потенциально ведёт к выполнению кода с высоким воздействием на конфиденциальность, целостность и доступность системы.
Уязвимость затрагивает несколько версий Windows 10, Windows 11 и Windows Server начиная с Server 2012 — это очень широкий охват.
Почему это особенно опасно
MSHTML — глубоко интегрированный компонент Windows, и вектор атаки через него хорошо известен злоумышленникам. Аналогичные уязвимости MSHTML исторически эксплуатировались в масштабных кампаниях APT-групп. CVSS 8.8 без требования к привилегиям означает, что атаку может провести любой удалённый злоумышленник при условии, что жертва откроет файл.
Как закрыть
Установить февральские обновления Patch Tuesday 2026. Временный митигейшн: не открывать HTML-файлы и .lnk-файлы из ненадёжных источников. В корпоративной среде рассмотреть ограничение запуска приложений на базе MSHTML через групповые политики.
6. CVE-2026-21514: обход OLE-защиты в Microsoft Word
Что это такое
CVE-2026-21514 — уязвимость обхода защитных функций в Microsoft Word с оценкой CVSS 5.5. Уязвимость затрагивает механизм защиты OLE (Object Linking and Embedding) в Microsoft 365 и Microsoft Office, который должен блокировать уязвимые COM/OLE-компоненты при открытии документов.
Технический механизм
OLE — технология Windows для встраивания объектов одних приложений в документы других (например, Excel-таблицу в Word-документ). Поскольку OLE может использоваться для встраивания исполняемого кода, Microsoft ввела защитные механизмы, блокирующие запуск потенциально опасных COM/OLE-контролов. CVE-2026-21514 позволяет злоумышленнику обойти эти механизмы через ненадёжный пользовательский ввод. Специально сформированный документ Office при открытии обходит блокировку уязвимых OLE-контролов.
Важное уточнение Microsoft: уязвимость не эксплуатируется через область предварительного просмотра (Preview Pane) в Office. Для атаки требуется полное открытие документа.
Исторический контекст
OLE-уязвимости в Microsoft Office имеют долгую историю эксплуатации. Документы Office с вредоносными OLE-объектами — один из наиболее распространённых векторов начального проникновения в корпоративных атаках. «Открой этот счёт» в письме от «поставщика» — классический сценарий, где CVE-2026-21514 становится точкой входа.
Затронутые продукты
Microsoft Word 2016, Microsoft 365 Apps for Enterprise, Microsoft Office 2019, Microsoft Office LTSC 2021 и 2024, Microsoft Office для Mac.
Как закрыть
Установить обновление для Office через Microsoft Update или непосредственно через Office: Файл → Учётная запись → Обновления Office → Обновить сейчас. Не отключать Защищённый просмотр (Protected View) в настройках Office.
7. CVE-2026-21519: повышение привилегий до SYSTEM в Desktop Window Manager
Что это такое
CVE-2026-21519 — уязвимость повышения привилегий в Desktop Window Manager (DWM) с оценкой CVSS 7.8. DWM — ключевой компонент Windows, отвечающий за компоновку и рендеринг рабочего стола: управляет отображением окон, прозрачностью и визуальными эффектами интерфейса. Это не второстепенный компонент — DWM работает в контексте системного процесса.
Технический механизм: путаница типов (Type Confusion)
В основе уязвимости лежит CWE-843 — «доступ к ресурсу с использованием несовместимого типа» (Type Confusion). Этот класс уязвимостей возникает, когда программа обрабатывает данные как объект одного типа, тогда как в действительности это объект другого типа — что приводит к непредусмотренному поведению.
По данным cvefeed.io и wnesecurity.com, уязвимость позволяет аутентифицированному локальному атакующему с низкими привилегиями (обычному пользователю без прав администратора) манипулировать обработкой типов ресурсов и получать доступ к ресурсам способами, не предусмотренными моделью безопасности. Взаимодействие пользователя при этом не требуется. Оценка CVSS 7.8 отражает высокое воздействие на конфиденциальность, целостность и доступность.
По состоянию на начало марта 2026 года на GitHub опубликованы 3 публичных PoC-эксплойта для этой уязвимости.
Почему SYSTEM — это катастрофа
Права уровня SYSTEM — наивысший уровень привилегий в Windows. Процесс с SYSTEM может: завершать любые процессы, включая антивирус; устанавливать любое ПО; изменять любые системные файлы; создавать и удалять учётные записи; отключать средства безопасности; распространяться по локальной сети.
CVE-2026-21519 — классический «второй этап» атаки: злоумышленник сначала проникает в систему через фишинг или другую уязвимость, а затем использует CVE-2026-21519 для максимального расширения привилегий.
Как закрыть
Установить февральские обновления Patch Tuesday 2026. Временный митигейшн: применять принцип минимальных привилегий — пользователи не должны иметь локальных прав администратора. Мониторить аномальное поведение процесса dwm.exe в SIEM.
8. CVE-2026-21525: отказ в обслуживании Windows Remote Access
Что это такое
CVE-2026-21525 — уязвимость отказа в обслуживании в диспетчере подключений удалённого доступа Windows (RasMan — Remote Access Connection Manager) с оценкой CVSS 6.2. RasMan — ключевая служба, управляющая всеми VPN и удалёнными подключениями Windows.
Технический механизм: разыменование нулевого указателя
В основе уязвимости лежит разыменование нулевого указателя (Null Pointer Dereference). Неавторизованный локальный атакующий может спровоцировать ситуацию, при которой служба обращается к нулевому адресу памяти, вызывая критическую ошибку и «падение» процесса. Вывод службы RasMan из строя означает немедленное прекращение всех VPN-соединений на системе, включая корпоративные.
История обнаружения: два месяца в открытом доступе
Специалисты ACROS Security обнаружили готовый код эксплойта в публичном хранилище вредоносных программ ещё в декабре 2025 года — за два месяца до официального патча. Компания немедленно уведомила Microsoft и выпустила временный микропатч через платформу 0patch. Это означает: уязвимость находилась в открытом доступе минимум с декабря 2025 по 10 февраля 2026 года.
Как закрыть
Установить февральские обновления Patch Tuesday 2026.
Временный митигейшн: если служба RasMan не используется (нет VPN), отключить через PowerShell:
stop
-Service RasMan -Force
Set-Service RasMan -StartupType Disabled
Внимание: отключение RasMan прекратит работу всех VPN-подключений.
9. CVE-2026-21533: захват Remote Desktop Services и добавление в администраторы
Что это такое
CVE-2026-21533 — уязвимость повышения привилегий в службах удалённого рабочего стола Windows (Windows Remote Desktop Services) с оценкой CVSS 7.8. Уязвимость связана с некорректным управлением привилегиями при работе Remote Desktop.
Технический механизм: модификация конфигурации службы
По данным Адама Мейерса, руководителя Counter Adversary Operations в CrowdStrike, бинарный файл эксплойта модифицирует ключ конфигурации службы, заменяя его значением под контролем атакующего. Это позволяет злоумышленнику добавить нового пользователя в группу администраторов.
Последовательность атаки: атакующий получает первоначальный доступ с правами обычного пользователя → запускает эксплойт CVE-2026-21533 → модифицирует конфигурацию службы Remote Desktop → создаёт учётную запись с правами администратора → получает полный контроль над системой.
Реальная эксплуатация подтверждена CrowdStrike
Ретроспективный анализ CrowdStrike выявил использование данного эксплойта в реальных атаках против американских организаций. Компания заявила, что злоумышленники с эксплойтом, вероятно, увеличат интенсивность его использования или продажи.
Особая угроза для серверов с открытым RDP
CVE-2026-21533 особенно опасна для серверов с RDP (порт 3389), открытым в интернет. Комбинация «первоначальное проникновение через brute-force RDP + повышение привилегий через CVE-2026-21533» — законченная цепочка атаки. Огромное количество компаний и частных лиц в России использует RDP именно с открытым внешним доступом.
Как закрыть
Установить февральские обновления Patch Tuesday 2026. Дополнительные меры: закрыть порт 3389 от прямого доступа из интернета (использовать VPN + RDP); включить NLA (Network Level Authentication); настроить 2FA для RDP-доступа; ограничить число неудачных попыток входа через групповую политику.
10. Дополнительно: критические уязвимости вне топ-6
Помимо шести 0-day, февральский Patch Tuesday закрыл ряд других уязвимостей, заслуживающих внимания.
CVE-2026-21509 — внеплановый патч Office (январь 2026)
Устранена внеплановым патчем 26 января 2026 года. Уязвимость обхода механизмов безопасности затрагивает несколько версий Office, включая Microsoft 365 Apps for Enterprise. Для эксплуатации достаточно открыть вредоносный файл Office. Если это обновление ещё не установлено — оно в приоритете.
CVE-2026-21522 и CVE-2026-23655 — критические уязвимости Azure ACI
По данным Cisco Talos, CVE-2026-21522 — критическая уязвимость повышения привилегий в Microsoft ACI Confidential Containers. CVE-2026-23655 — критическая уязвимость раскрытия информации, позволяющая получить секретные токены и ключи. Для организаций, использующих Azure ACI, — обновления высшего приоритета.
CVE-2026-20841 — RCE в Microsoft Notepad
По данным Cisco Talos, уязвимость удалённого выполнения кода в Microsoft Notepad через вредоносный Markdown-файл. Неожиданный вектор атаки через, казалось бы, безобидный текстовый редактор.
CVE-2026-21228 — RCE в Azure Local
По данным Cisco Talos, уязвимость некорректной проверки сертификата в Azure Local позволяет неавторизованному атакующему выполнять код по сети. Успешная эксплуатация может привести к смене области видимости и взаимодействию с данными других арендаторов.
libpng CVE-2026-25646 — 30-летняя уязвимость
По данным Anti-Malware.ru, переполнение буфера в куче с оценкой CVSS 8.3, которое присутствовало в коде с самого начала реализации проекта — более 28 лет. Затрагивает все версии libpng с 0.90 beta до 1.6.54, исправлено в сборке 1.6.55 от 10 февраля 2026 года. Библиотека используется во множестве Windows-приложений.
11. Как проверить, установлены ли патчи: пошаговая инструкция
Способ 1: Проверка версии сборки через winver
Нажать Win + R, ввести winver, нажать Enter. Сравнить номер сборки с таблицей:
| Версия Windows | Актуальная сборка | Номер KB |
|---|---|---|
| Windows 11 26H1 | 28000.1575 | KB5077179 |
| Windows 11 25H2 | 26200.7840 | KB5077181 |
| Windows 11 24H2 | 26100.7840 | KB5077181 |
| Windows 11 23H2 | 22631.6649 | KB5075941 |
| Windows 10 22H2 | 19045.6937 | KB5075912 |
| Windows Server 2025 | KB5075899 | — |
| Windows Server 2022 | KB5075906 | — |
| Windows Server 2019 | KB5075904 | — |
| Windows Server 2016 | KB5075999 | — |
Способ 2: Через Центр обновления Windows
win
+ I → Центр обновления Windows → Просмотр журнала обновлений
Найти записи с датой 10 февраля 2026 года.
Способ 3: Через PowerShell (для IT-специалистов)
powershell
<h2 id="proverka-konkretnogo-kb">Проверка конкретного KB</h2>
Get-HotFix -Id KB5077181
<h2 id="vse-obnovleniya-za-poslednie-30-dney">Все обновления за последние 30 дней</h2>
Get-HotFix | Where-Object {$_.InstalledOn -gt (Get-Date).AddDays(-30)} | Sort-Object InstalledOn -Descending
Способ 4: Через командную строку
cmd
wmic qfe list brief | findstr KB5077181
Если вывод содержит номер KB — обновление установлено. Если пустой — не установлено.
12. Как установить обновления вручную: все способы
Способ 1: Через Центр обновления Windows (рекомендуется)
win
+ I → Центр обновления Windows → Проверить наличие обновлений → Загрузить и установить → Перезагрузить
Способ 2: Ручная загрузка с Microsoft Update Catalog
Перейти на сайт catalog.update.microsoft.com, ввести номер KB (например, KB5077181), выбрать версию для своей архитектуры (x64 или ARM64), скачать файл .msu, запустить от имени администратора.
Способ 3: Через PowerShell с модулем PSWindowsUpdate
powershell
<h2 id="ustanovka-modulya-odin-raz">Установка модуля (один раз)</h2>
Install-Module PSWindowsUpdate -Force -Confirm:$false
Import-Module PSWindowsUpdate
<h2 id="ustanovka-vseh-obnovleniy-bezopasnosti">Установка всех обновлений безопасности</h2>
Install-WindowsUpdate -Category "Security Updates" -AcceptAll -AutoReboot
Способ 4: Через командную строку
cmd
wusa.exe C:\Path\To\KB5077181.msu /quiet /norestart
Способ 5: Для Windows Server Core (без GUI)
```
sconfig
```
Выбрать пункт 6 (Загрузить и установить обновления) → All updates → Install.
Способ 6: Обновление Microsoft Office отдельно
Office обновляется независимо от Windows Update:
text
Любое приложение Office → Файл → Учётная запись → Обновления Office → Обновить сейчас
13. Что делать, если патч вызвал бесконечную перезагрузку KB5077181
По данным Anti-Malware.ru, после установки накопительного обновления KB5077181 для Windows 11 24H2 и 25H2 ряд устройств уходил в цикл бесконечных перезагрузок — 10-15 рестартов подряд без возможности войти в систему. По состоянию на середину февраля Microsoft не добавила официального подтверждения проблемы, однако число жалоб на Reddit и профильных форумах продолжает расти.
Шаг 1: Войти в среду восстановления Windows (WinRE)
При включении компьютера принудительно прерывайте загрузку кнопкой питания три раза подряд. После третьего прерывания Windows предложит «Автоматическое восстановление». Путь: Устранение неполадок → Дополнительные параметры → Удалить обновления.
Альтернатива: загрузиться с установочного USB-носителя Windows 11 → Восстановить компьютер → Устранение неполадок → Дополнительные параметры.
Шаг 2: Удалить проблемное обновление
В разделе «Дополнительные параметры» выбрать «Удалить обновления» и удалить последнее накопительное обновление (KB5077181). После удаления система должна загрузиться нормально.
Шаг 3: Временно заблокировать повторную установку
Воспользоваться утилитой Microsoft «Show or hide updates» (KB3073930) и скрыть проблемное обновление до выхода исправленной версии.
Шаг 4: Мониторинг исправления
Следить за официальными страницами support.microsoft.com/KB5077181 и Windows Insider Blog. Microsoft выпустит исправленную версию обновления в рамках внепланового патча или следующего Patch Tuesday (11 марта 2026).
> *Важно: бесконечные перезагрузки затрагивают не все устройства, а часть конфигураций. Если обновление установилось успешно — никаких действий не требуется.*
14. Корпоративная защита: приоритизация и развёртывание через WSUS/Intune
Приоритизация по риску для корпоративной среды
Немедленное развёртывание (24 часа):
— Рабочие станции пользователей, получающих внешнюю почту — CVE-2026-21510, CVE-2026-21513, CVE-2026-21514 создают прямой риск через фишинговые документы
— Серверы с RDP, открытым в интернет — CVE-2026-21533 даёт полный контроль после первоначального проникновения
Приоритетное развёртывание (48-72 часа):
— Серверы и рабочие станции с административными учётными записями — CVE-2026-21519
— Серверы с включённой службой RasMan — CVE-2026-21525
Стандартный цикл:
— Все остальные системы
Развёртывание через WSUS
В консоли WSUS одобрить обновления KB5077181 и KB5075912. Сначала развернуть на тестовой группе 5-10% устройств. После 24 часов без инцидентов расширять развёртывание. Для серверов настроить maintenance window.
Важно: учитывая проблему с бесконечной перезагрузкой KB5077181, обязательно тестируйте на части парка перед массовым развёртыванием.
Развёртывание через Microsoft Intune
Devices → Windows → Update rings → создать или обновить кольцо с минимальной отсрочкой для критических обновлений безопасности → назначить на приоритетные устройства → мониторить в разделе Monitor → Update compliance.
Компенсирующие меры для систем без немедленного патчинга
Для CVE-2026-21510/21513/21514: усиленная фильтрация входящих писем с вложениями .lnk, .html, .doc; ограничение через AppLocker.
Для CVE-2026-21519: применение принципа минимальных привилегий; мониторинг аномального поведения dwm.exe в SIEM.
Для CVE-2026-21533: ограничение доступа к RDP через NLA; мониторинг изменений ключей реестра служб; аудит изменений в группах администраторов.
15. FAQ: 12 вопросов про 0-day в Windows 2026
Q 01 Если у меня автообновление включено, мне что-то делать?
A Убедитесь, что обновление действительно установлено через winver — перезагрузка обязательна для применения патча. Если перезагрузку откладывали несколько дней — сделайте её сейчас.
Q 02 Я использую Windows 10. Меня это касается?
A Да. Все шесть 0-day затрагивают Windows 10 22H2. Обновление KB5075912 обязательно для установки. Помните: поддержка Windows 10 завершилась в октябре 2025 года — это последние бесплатные обновления безопасности по расширенной программе ESU.
Q 03 Эти уязвимости опасны для домашних пользователей или только для корпоративных?
A CVE-2026-21510, CVE-2026-21513 и CVE-2026-21514 одинаково опасны для всех: они эксплуатируются через фишинговые письма. Домашний пользователь, открывший «счёт» из письма, так же уязвим, как корпоративный сотрудник.
Q 04 Что делать, если не могу установить обновление прямо сейчас?
A Применяйте временные меры: не открывать .lnk-файлы и документы Office из писем; включить максимальный уровень защиты в Microsoft Defender; закрыть порт RDP (3389) от внешнего доступа; установить обновление при первой возможности.
Q 05 Как понять, что система уже была взломана через эти уязвимости?
A Признаки: необъяснимые изменения в настройках учётных записей; новые учётные записи с правами администратора; аномальная активность dwm.exe; изменения в ключах реестра служб Remote Desktop; исходящие соединения к незнакомым адресам. Проверить через: Просмотр событий (eventvwr.msc) → Журналы Windows → Безопасность.
Q 06 Что такое Mark of the Web и как его обходит CVE-2026-21510?
A Mark of the Web (MoTW) — атрибут в метаданных файла (Zone.Identifier), который Windows присваивает файлам из интернета. При открытии SmartScreen показывает предупреждение. CVE-2026-21510 позволяет создать .lnk или ссылку, которая обходит проверку этого атрибута — система не показывает предупреждение.
Q 07 Почему CISA потребовала патчи до 3 марта 2026?
A Требование CISA (BOD 22-01) обязательно для федеральных агентств США. Дедлайн 3 марта 2026 — хороший ориентир для всех: все шесть уязвимостей подтверждены к активной эксплуатации в реальных атаках.
Q 08 Нужно ли обновлять Windows Server?
A Да, обязательно. Все шесть уязвимостей затрагивают Windows Server. CVE-2026-21533 особенно критична для серверов с включённым RDP. Номера KB для серверных версий — в таблице из раздела 11.
Q 09 Сертификаты Secure Boot истекают в июне 2026 — что это значит?
A Оригинальные сертификаты Secure Boot 2011 года истекают в конце июня 2026 года. Устройства без новых сертификатов войдут в «деградированное состояние безопасности» — не смогут устанавливать новые защиты на уровне загрузки. Для большинства устройств обновление происходит автоматически через Windows Update. Некоторым старым устройствам может потребоваться обновление прошивки от производителя.
Q 10 Откуда взялась уязвимость CVE-2026-21525 в публичном доступе с декабря 2025?
A Специалисты ACROS Security обнаружили готовый код эксплойта при мониторинге публичных хранилищ вредоносных программ (VirusTotal, MalwareBazaar). Это стандартная практика исследователей безопасности. Компания немедленно уведомила Microsoft и выпустила временный микропатч через 0patch.
Q 11 Какой из шести 0-day самый опасный?
A Для большинства пользователей — CVE-2026-21510 и CVE-2026-21513 (CVSS 8.8 у обоих): не требуют никаких прав на системе. Для корпоративных администраторов наиболее критична CVE-2026-21533 — реально наблюдавшаяся эксплуатация в атаках против американских организаций, дающая полный контроль.
Q 12 Где следить за новыми 0-day Windows?
A Основные источники: msrc.microsoft.com (официальный бюллетень Microsoft), cisa.gov/known-exploited-vulnerabilities-catalog (CISA KEV), SecurityLab.ru и Anti-Malware.ru на русском языке. Подпишитесь на уведомления о Patch Tuesday — они выходят каждый второй вторник месяца. Следующий Patch Tuesday — 11 марта 2026 года.
16. Чек-лист: экспресс-аудит защищённости системы за 10 минут
Блок A: Проверка статуса патчей (3 минуты)
- [ ] Win + R → winver → сверить номер сборки с таблицей актуальных сборок (раздел 11)
- [ ] Win + I → Центр обновления Windows → убедиться, что обновления от 10 февраля 2026 установлены
- [ ] Убедиться, что система перезагружалась после последнего обновления
- [ ] Office: Файл → Учётная запись → Обновления Office → проверить актуальность
Блок B: Проверка базовых настроек безопасности (4 минуты)
- [ ] Microsoft Defender включён: Win + I → Безопасность Windows → Защита от вирусов → статус «Включено»
- [ ] Брандмауэр Windows включён для всех типов сетей
- [ ] Защищённый просмотр Office включён: Файл → Параметры → Центр управления безопасностью → Защищённый просмотр → все три галочки установлены
- [ ] RDP проверен: Win + I → Система → Удалённый рабочий стол — если не используется, отключить
Блок C: Проверка учётных записей (2 минуты)
- [ ] Win + R → netplwiz → обычные пользователи не в группе администраторов
- [ ] Управление компьютером → Локальные пользователи и группы → нет незнакомых учётных записей
- [ ] Встроенная учётная запись Administrator отключена (если не используется)
Блок D: Для корпоративных администраторов (1 минута)
- [ ] WSUS/Intune: статус развёртывания KB5077181 и KB5075912 на целевых устройствах
- [ ] SIEM: проверка алертов по dwm.exe, RasMan, Remote Desktop Services за декабрь 2025 — февраль 2026
- [ ] Порт 3389 (RDP) закрыт от прямого доступа из интернета
> Если все пункты выполнены — система защищена от активно эксплуатируемых уязвимостей. Следующий Patch Tuesday — 11 марта 2026 года.
17. Заключение
Февральский Patch Tuesday 2026 — один из наиболее насыщенных за последние годы: шесть одновременно эксплуатируемых 0-day, три из которых были публично известны до выхода патча, одна находилась в открытом доступе два месяца, а реальные атаки на организации с использованием CVE-2026-21533 подтверждены CrowdStrike.
Главный вывод: обновления Windows — это не формальность. Для рядового пользователя достаточно одного действия: Центр обновления Windows → Проверить → Установить → Перезагрузить. Для IT-администратора — плюс проверка RDP, аудит привилегий и мониторинг аномалий за период с декабря 2025 года.
Следите за следующим Patch Tuesday — 11 марта 2026 года. Подпишитесь на уведомления SecurityLab.ru или Anti-Malware.ru.
Пять правил после каждого Patch Tuesday
1. Установи обновление в день выхода — не жди «пока другие проверят»
2. Перезагрузи систему — без перезагрузки патч не применяется
3. Проверь сборку через winver — убедись, что обновление применилось
4. Обнови Office отдельно — он обновляется независимо от Windows Update
5. Проверь RDP — если не используешь, отключи; если используешь, закрой от интернета
