TECHFIXBK BLOG
Критическое обновление Windows 11: активно эксплуатируются 6 уязвимостей нулевого дня
Критическое обновление Windows 11: активно эксплуатируются 6 уязвимостей нулевого дня
Microsoft выпустила критическое обновление безопасности за февраль 2026 года, исправляющее 59 уязвимостей, включая шесть активно эксплуатируемых брешей нулевого дня.
Введение и целевая аудитория
Microsoft недавно устранила ряд критических брешей в системе безопасности, которые делали системы уязвимыми для активных атак. Отчеты указывают на то, что обновление Patch Tuesday за февраль 2026 года включает исправления для шести уязвимостей нулевого дня из 59 общих CVE [11][16]. Для многих пользователей это означает, что их устройства в данный момент могут подвергаться риску атак «в реальных условиях», способных обходить традиционные меры защиты [11][15].
Этот анализ предназначен для пользователей Windows 11 и Windows 10, а также для системных администраторов, ответственных за обслуживание сред Windows Server [11][15][16]. Он особенно актуален для тех, кто управляет WSUS (Windows Server Update Services) или использует оборудование, полагающееся на оригинальные сертификаты Secure Boot [7][10][14].
В этом отчете рассматриваются:
- Влияние шести недавно исправленных уязвимостей нулевого дня [11][16].
- Критические риски, связанные с
CVE-2025-59287иCVE-2025-9491[10][15]. - Предстоящее истечение срока действия сертификатов Secure Boot в июне 2026 года [2][3].
- Предварительные условия для программы Windows 10 Extended Security Updates (ESU) [4][11].
Пользователи неподдерживаемых версий Windows, не зарегистрированные в программе ESU, могут пропустить технические детали этих патчей, так как их системы не получат данные обновления [6][11]. Если вы используете полностью обновленную современную систему с включенными автоматическими обновлениями и не управляете серверной инфраструктурой, переход на эти новые стандарты безопасности должен пройти незаметно [7][8][13].
Краткий обзор / Что это значит для вас
Обновления Patch Tuesday за февраль 2026 года устраняют в общей сложности 59 уязвимостей, включая шесть брешей нулевого дня, которые были публично раскрыты или атакованы злоумышленниками [9][12]. Эти уязвимости затрагивают основные компоненты системы, потенциально позволяя хакерам получить полный контроль над затронутыми устройствами [6][10].
- Требуются критические обновления: Обновления безопасности для Microsoft Office, Windows SMB и Windows Graphics Components должны быть приоритетными, так как они устраняют уязвимости, которые могут привести к удаленному выполнению кода или повышению привилегий до уровня SYSTEM [9][10].
- Подтверждена активная эксплуатация: Исследования указывают на активную эксплуатацию SolarWinds Web Help Desk (WHD) в реальных условиях, что позволило злоумышленникам выполнять произвольные команды и устанавливать постоянный доступ [1][15].
- Широкое влияние: Уязвимости, такие как
CVE-2025-54910, потенциально могут быть использованы через область предварительного просмотра в Office, не требуя взаимодействия с пользователем для выполнения кода [10]. - Рекомендуемые действия: Системы должны быть обновлены немедленно. Организациям, использующим SolarWinds WHD, рекомендуется сменить учетные данные для сервисных и административных аккаунтов и провести расследование на наличие следов несанкционированного удаленного мониторинга и управления (RMM) [1].
- Примечание о рисках: Хотя применение этих обновлений значительно снижает уязвимость, патчи не устраняют все риски. Аналитики предполагают, что злоумышленники могут продолжать атаковать незащищенные конфигурации SMB или использовать методы DLL sideloading для обхода традиционных средств обнаружения [1][9].
Ключевые источники (быстрые ссылки)
- Safer Internet Day 2026: Helping students be AI aware | Microsoft Education Blog [1]
- Building a safer digital future, together [2]
- Microsoft Launches AI QuickStart Programme with Support from IMDA and UOB - S... [4]
Контекст и основы
Чтобы понять масштаб выпуска Patch Tuesday за февраль 2026 года, полезно определить, как Microsoft управляет уязвимостями безопасности и как эти обновления попадают в вашу систему.
Что такое уязвимость нулевого дня?
Уязвимость нулевого дня (zero-day) — это брешь в системе безопасности программного или аппаратного обеспечения, которая неизвестна производителю или исследователям на момент ее обнаружения [33]. Поскольку у разработчика есть «ноль дней» на исправление проблемы до того, как она может быть использована злоумышленниками, такие бреши особенно опасны [33]. Microsoft официально классифицирует уязвимость как «нулевой день», если она либо публично раскрыта, либо активно эксплуатируется до появления официального патча [24].
Что такое Patch Tuesday?
Patch Tuesday (Вторник обновлений) — это отраслевой термин для второго вторника каждого месяца, когда Microsoft регулярно выпускает обновления безопасности [16]. Эти обновления предназначены для устранения различных типов рисков, включая:
- Повышение привилегий (Elevation of Privilege): Позволяет злоумышленнику получить более высокий уровень доступа (например, права SYSTEM), чем ему положено [10][16].
- Удаленное выполнение кода (RCE): Позволяет злоумышленнику запускать произвольные команды на целевой машине через сеть [3][16].
- Обход функций безопасности (Security Feature Bypass): Обход существующих защит, таких как SmartScreen или Mark-of-the-Web [6][24].
Как доставляются обновления
Для пользователей Windows 11 (включая версии 24H2 и 25H2) исправления безопасности доставляются через ежемесячные кумулятивные обновления [12]. Эти обновления представляют собой пакеты «все в одном»; установка последней версии автоматически применяет все предыдущие патчи безопасности и улучшения надежности [12]. Как правило, невозможно установить исправления безопасности отдельно от других системных обновлений [12].
Система оценки серьезности (CVSS)
Эксперты по безопасности используют Общую систему оценки уязвимостей (CVSS) для ранжирования опасности бреши по шкале от 0 до 10.
| Диапазон баллов | Серьезность | Потенциальное влияние |
|---|---|---|
| 0.1 – 3.9 | Низкая | Минимальный риск, часто требуется физический доступ. |
| 4.0 – 6.9 | Средняя | Требуются специфические условия или взаимодействие с пользователем. |
| 7.0 – 8.9 | Высокая | Значительный риск; может привести к повышению привилегий [4][11]. |
| 9.0 – 10.0 | Критическая | Максимальный риск; часто позволяет полный удаленный контроль [3][15]. |
Активная эксплуатация против публичного раскрытия
Важно различать «известную» брешь и ту, которая «используется»:
- Публично раскрытая: Детали бреши доступны общественности, что повышает вероятность разработки эксплойта хакерами [8][16].
- Активно эксплуатируемая: Фирмы по безопасности подтвердили, что злоумышленники уже используют эту брешь в реальных условиях для атак на пользователей или организации [15][24].
Когда одновременно подтверждается активная эксплуатация шести уязвимостей нулевого дня, это свидетельствует о высоком уровне активности угроз, нацеленных на компоненты Windows, такие как Windows Shell, MSHTML и Remote Desktop Services [24][33].
Объяснение проблемы (Что происходит?)
Microsoft недавно выпустила обновление безопасности за февраль 2026 года, чтобы устранить в общей сложности 59 уязвимостей [14][16]. Среди этих патчей — шесть уязвимостей нулевого дня, которые были идентифицированы как высокоприоритетные риски [14][15]. Нулевой день обычно относится к бреши, которая либо публично раскрыта, либо активно эксплуатируется злоумышленниками до выпуска официального исправления вендором [7][16].
Текущая ситуация особенно критична, поскольку некоторые из этих уязвимостей позволяют осуществлять удаленное выполнение кода (RCE) и повышение привилегий (EoP) [15][16]. Компании по кибербезопасности, такие как Huntress, Eye и Sophos, уже зафиксировали активную эксплуатацию специфических брешей, таких как CVE-2025-59287, в средах нескольких клиентов [15]. Эта активность указывает на то, что злоумышленники действуют быстро, используя эти пробелы, как только они становятся известны общественности [15].
Симптомы и последствия
Практическое влияние этих уязвимостей варьируется в зависимости от конкретной бреши, но общие риски включают сбои в работе сервисов и несанкционированный доступ к системе [16]. Пользователи и администраторы могут столкнуться со следующим:
- Сбои в работе сервисов: Уязвимости, связанные с неправильной обработкой условий, могут вызывать сбои приложений и простои сервисов, что особенно затрагивает SQL Server и другие среды баз данных [16].
- Несанкционированный доступ: Успешная эксплуатация уязвимостей повышения привилегий позволяет злоумышленникам с низким уровнем доступа получить права SYSTEM, что потенциально дает им полный контроль над устройством [16].
- Побег из виртуализации: Определенные критические бреши в таких компонентах, как Windows Hyper-V, могут позволить злоумышленнику выйти за пределы гостевой виртуальной машины и выполнить код в хост-системе [16].
- Сетевые атаки: Уязвимости в Windows SMB или WSUS особенно опасны, так как они могут быть использованы через сеть, иногда без какого-либо взаимодействия с пользователем, что позволяет вредоносному ПО быстро распространяться [15][16].
Затронутые системы и распространенность
Обновление от февраля 2026 года затрагивает широкий спектр продуктов, включая Windows 11, Windows Server и Microsoft Office [7][16]. Отраслевые отчеты предполагают, что эти атаки не обязательно нацелены на конкретных лиц, а скорее поражают серверы, подключенные к интернету, в самых разных отраслях [15].
| Тип уязвимости | Подтвержденные риски | Потенциальное влияние |
|---|---|---|
| Нулевой день (активный) | Эксплуатируется в реальности [15] | Немедленный взлом системы |
| Удаленное выполнение кода | Неавторизованный доступ [16] | Удаленная установка вредоносного ПО |
| Повышение привилегий | Получение прав SYSTEM [16] | Полный доступ/кража данных |
| Отказ в обслуживании | Сбои приложений [16] | Простой бизнеса |
Хотя многие патчи предназначены для предотвращения будущих проблем, наличие шести уязвимостей нулевого дня означает, что угроза уже активна для необновленных систем [14][15]. Аналитики отмечают, что сложность некоторых эксплойтов низка, что делает их использование злоумышленниками относительно простым после получения локального или сетевого доступа [16].
Первопричины и анализ (Почему это происходит?)
Недавний всплеск критических эксплойтов, включая шесть уязвимостей нулевого дня, исправленных в феврале 2026 года, вызван сочетанием сложных программных ошибок и изощренных методов работы злоумышленников [9][16]. Исследователи безопасности выделили несколько основных факторов этих успешных вторжений.
1. Критическая десериализация недоверенных данных
Основной причиной первоначального доступа в недавних кампаниях является эксплуатация уязвимостей десериализации недоверенных данных, в частности CVE-2025-40551 в SolarWinds Web Help Desk (WHD) [1][8]. Эта уязвимость позволяет удаленному неавторизованному злоумышленнику выполнять произвольные команды операционной системы [8][22]. Такие типы брешей особенно опасны, так как они часто обеспечивают доступ высокого уровня к интернет-ресурсам без необходимости наличия валидных учетных данных [6][12].
2. Неэффективность предыдущих патчей безопасности
Анализ показывает, что некоторые текущие уязвимости являются результатом обхода патчей [8]. Например, CVE-2025-26399 — это критическая брешь (CVSS 9.8), которая обошла исправления, предназначенные для CVE-2024-28988 и CVE-2024-28986 [8][22]. Это говорит о том, что злоумышленники внимательно следят за обновлениями вендоров, чтобы найти незначительные вариации в тех же путях кода, которые остаются незащищенными [22].
3. Методы Living-off-the-Land (LotL)
Злоумышленники все чаще отказываются от явного вредоносного ПО в пользу методов living-off-the-land (использование легитимных инструментов системы) [12]. Используя официальные административные инструменты, они могут обходить традиционное обнаружение на основе сигнатур [6]. Наблюдаемые тактики включают:
- Использование
PowerShellи Background Intelligent Transfer Service (BITS) для доставки полезной нагрузки [3][6]. - Злоупотребление
wab.exeдля выполнения DLL sideloading путем загрузки вредоносного файлаsspicli.dll[2][6]. - Развертывание легитимных инструментов удаленного мониторинга и управления (RMM), таких как Zoho ManageEngine, для поддержания интерактивного контроля [6].
4. Архитектурные состояния гонки и проблемы с ресурсами
Помимо уязвимостей на уровне приложений, основные компоненты Windows сталкиваются с архитектурными проблемами [14]. CVE-2025-55224 в Windows Hyper-V и различные бреши в Windows Graphics Component связаны с состояниями гонки и ошибками use-after-free [14]. Эти уязвимости возникают, когда система неправильно инициализирует ресурсы или некорректно обрабатывает время доступа к памяти, что потенциально позволяет злоумышленникам выходить за границы виртуализации [14].
Подтвержденный против спекулятивного анализа
Для поддержания точной оценки безопасности важно различать проверенные криминалистические доказательства и текущие следственные гипотезы.
| Фактор | Статус | Детали |
|---|---|---|
| Активная эксплуатация | Подтверждено | Microsoft и CISA подтверждают, что CVE-2025-40551 и другие используются в реальности [1][8][12]. |
| Боковое перемещение | Подтверждено | Зафиксировано перемещение злоумышленников от начальных точек входа к ценным активам, таким как контроллеры домена [6][12]. |
| Точная точка входа | Не подтверждено | Аналитики пока не могут подтвердить, использовали ли атаки декабря 2025 года новейшие баги WHD или старые неисправленные [12][22]. |
| Личность атакующего | Не подтверждено | В отчетах активность приписывается «неизвестным злоумышленникам» без формальной атрибуции [15][22]. |
Примечание: Поскольку атаки в конце 2025 года происходили на машинах, уязвимых одновременно к старым и новым CVE, исследователи заявляют, что они «не могут достоверно подтвердить» точную уязвимость, использованную для первоначального закрепления в каждом конкретном случае [12][22].
Как проверить, затронуты ли вы
Выявление компрометации требует поиска специфических индикаторов активности после эксплуатации, а не просто проверки уровня патчей [1].
- Аудит бинарных файлов WHD: Проверьте папку
\WebHelpDesk\bin\на наличие подозрительных запусков процессов, особенно связанных сjava.exeилиtomcat, порождающими команды типаwhoami,certutilилиnet user[1][3]. - Мониторинг запланированных задач: Ищите необычные задачи, настроенные на запуск при старте системы, например, запускающие виртуальные машины (например,
qemu-system-x86_64.exe) под учетной записью SYSTEM [2][6]. - Проверка целостности DLL: Ищите наличие
sspicli.dllв каталогах, где его не должно быть, особенно если он связан сwab.exe[2][6]. - Проверка артефактов RMM: Проверьте наличие несанкционированных установок ПО для управления, такого как ToolsIQ.exe, которые не развертывались вашим ИТ-отделом [1][2].
- Сканирование на кражу NTDS.dit: Ищите в командных строках процессов попытки доступа
print.exeк\windows\ntds\ntds.dit, что указывает на попытку кражи базы данных Active Directory [1].
Доказательства и проверка реальности
Отчеты крупных организаций по безопасности и официальная документация подтверждают значительный рост активности уязвимостей в начале 2026 года. Аналитики отмечают, что Patch Tuesday за февраль 2026 года был особенно критичным, устранив 59 CVE [3][14]. Среди них отраслевые данные подтверждают обнаружение шести уязвимостей нулевого дня, которые потенциально эксплуатировались до появления исправления [3][16].
Это следует за еще большим объемом обновлений в январе 2026 года, когда было исправлено 114 CVE, включая три нулевых дня [3][14]. Центр реагирования на вопросы безопасности Microsoft (MSRC) расследует все сообщения об уязвимостях в своих продуктах и выпускает эти бюллетени в рамках постоянных усилий по управлению системными рисками [2].
| Метрика | Январь 2026 | Февраль 2026 |
|---|---|---|
| Всего исправлено CVE | 114 [3] | 59 [14] |
| Уязвимости нулевого дня | 3 [14] | 6 [16] |
| Основной орган отчетности | MSRC [2] | MSRC [2] |
Официальная документация подчеркивает, что риски безопасности становятся все более сложными как для организаций, так и для отдельных пользователей. Глобальный опрос по онлайн-безопасности 2026 года показывает, что 91% респондентов обеспокоены вредом, приносимым новыми технологиями, такими как ИИ [9]. Кроме того, исследователи безопасности выявили специфические недостатки в коде, сгенерированном DeepSeek, и следят за изощренными противниками, такими как Warp Panda и Labyrinth Chollima [13][14].
Помимо программных уязвимостей, ведутся обновления безопасности на аппаратном уровне. Отраслевые отчеты указывают на то, что срок действия оригинальных сертификатов Secure Boot истекает в конце этого года [7][11]. Это «обновление поколений» необходимо для того, чтобы будущее оборудование и операционные системы могли поддерживать безопасный процесс загрузки [7].
Примечание: MSRC ведет хронологическую библиотеку рекомендаций по безопасности, включая Индекс эксплуатируемости, чтобы помочь пользователям приоритизировать наиболее срочные обновления для их систем [2][5].
Хотя количество уязвимостей остается высоким, есть свидетельства успешного противодействия. В январе 2026 года была успешно пресечена деятельность глобального сервиса подписки на киберпреступления, ответственного за миллионные убытки от мошенничества [8]. Это говорит о том, что, хотя риски сохраняются, скоординированные усилия отрасли активно работают над снижением воздействия этих угроз [6][9].
Самопроверка / Диагностика
Поскольку предстоящее истечение срока действия сертификатов Secure Boot будет происходить поэтапно в течение 2026 года [11][14], важно проверить текущий статус вашей системы. Хотя многие системы, обновляемые через Windows Update, уже могут быть защищены [7][15], старое оборудование или системы с фрагментированной NVRAM могут потребовать ручной проверки [1][2].
Выполните следующие шаги для диагностики готовности вашей системы:
1. Проверьте состояние Secure Boot
Новые сертификаты не могут быть применены, если Secure Boot отключен в настройках BIOS/UEFI [2].
- Нажмите
Windows + R, введитеmsinfo32и нажмите Enter [2]. - Найдите пункт Состояние безопасной загрузки (Secure Boot State) в Сведениях о системе [2].
- Убедитесь, что установлено значение Вкл. Если указано «Выкл» или «Не поддерживается», процесс обновления сертификата может не начаться корректно [2][7].
2. Проверьте активную базу данных сертификатов
Вы можете использовать PowerShell, чтобы определить, использует ли ваш ПК сертификаты образца 2023 года для текущего сеанса загрузки [1][14].
- Щелкните правой кнопкой мыши на приложение PowerShell или Терминал и выберите Запуск от имени администратора [2].
- Введите следующую команду:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')[2][3] - Результат: Если команда возвращает
True, ваш ПК использует новый сертификат и считается готовым к переходу [2][14].
3. Проверьте интеграцию в прошивку
Этот шаг определяет, «вшиты» ли новые сертификаты в прошивку вашего оборудования, что типично для новых ПК, выпущенных после 2024 года [3][14].
- В том же окне PowerShell от имени администратора введите:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI dbdefault).bytes) -match 'Windows UEFI CA 2023')[3] - Результат: Если возвращается
False, это нормальное поведение для старых ПК [1][3]. Это указывает на то, что, хотя вы можете быть защищены через «активную» базу данных, для полной поддержки на уровне прошивки может потребоваться обновление BIOS от производителя [1][14].
4. Подтвердите право на обновление ОС
Только поддерживаемые версии Windows получают эти обновления сертификатов автоматически через ежемесячный процесс обновления [7][15].
- Windows 11: Убедитесь, что вы используете версию 24H2 или 25H2 [2].
- Windows 10: Убедитесь, что ваше устройство зарегистрировано в программе Extended Security Updates (ESU) [2][15].
- Неподдерживаемые версии: Устройства под управлением стандартной Windows 10 (после 14 октября 2025 г.) или более старых версий не получат эти сертификаты, что может привести к снижению уровня безопасности [13][15].
5. Проверьте среду SolarWinds WHD (только для предприятий)
Если ваша организация использует SolarWinds Web Help Desk (WHD), вы должны проверить наличие специфических уязвимостей (CVE-2025-40551, CVE-2025-40536 и CVE-2025-26399), которые в настоящее время эксплуатируются наряду с системными слабостями [8][12].
- Проверьте наличие несанкционированных артефактов, таких как
ToolsIQ.exe[9][12]. - Следите за подозрительными процессами
java.exeилиwrapper.exe, исходящими из каталога\WebHelpDesk\bin\[8][12]. - Определите, является ли версия вашего сервера более старой, чем релиз WHD 2026.1, который включает необходимые меры защиты [8][9].
Решения / Что делать
Устранение активно эксплуатируемых уязвимостей требует сочетания немедленных мер и долгосрочных структурных обновлений. Поскольку для некоторых брешей в настоящее время отсутствуют официальные патчи, пользователи и администраторы должны применять ручные изменения конфигурации наряду со стандартными процедурами обновления [15].
Краткосрочные меры и немедленные действия
Для уязвимостей, где патч недоступен или ожидается его развертывание, сосредоточьтесь на сокращении поверхности атаки. Это особенно критично для бреши в формате бинарных файлов Windows Shortcut (CVE-2025-9491) и экземпляров SolarWinds Web Help Desk (WHD) [1][15].
- Ограничение функциональности файлов
.lnk: Поскольку по состоянию на конец октября 2025 года патч для уязвимости ярлыков отсутствовал, эксперты рекомендуют заблокировать функции.lnk. Отключите автоматическое разрешение этих файлов в Проводнике Windows и блокируйте файлы.lnk, полученные из ненадежных источников или интернета [15]. - Защита SolarWinds WHD: Немедленно обновите WHD для устранения CVE-2025-40551, CVE-2025-40536 и CVE-2025-26399 [1]. Если обновление задерживается, закройте публичный доступ к административным путям и увеличьте уровень логирования на Ajax Proxy для обнаружения несанкционированной активности [1].
- Удаление несанкционированных инструментов: Проверьте системы на наличие неавторизованных инструментов удаленного мониторинга и управления (RMM) [1]. В частности, найдите и удалите артефакты типа
ToolsIQ.exe, если они были добавлены после потенциального инцидента [1]. - Смена учетных данных: Если есть подозрение на взлом, смените пароли всех сервисных и административных учетных записей, доступных из затронутого приложения [1]. Изолируйте любые скомпрометированные хосты от остальной сети, чтобы предотвратить боковое перемещение злоумышленников [1].
Долгосрочные решения и укрепление системы
Долгосрочная стабильность зависит от перехода на поддерживаемые версии операционных систем и обновления базовой архитектуры безопасности, такой как сертификаты Secure Boot [7][9].
1. Обновление Windows и прошивки
Убедитесь, что на всех устройствах установлены последние ежемесячные обновления безопасности. Для уязвимости Windows Server Update Services (WSUS) (CVE-2025-59287) примените внеплановое обновление, выпущенное Microsoft для устранения ошибки десериализации [15].
| Компонент | Требуемое действие |
|---|---|
| Windows 11 | Обновитесь до версии 24H2 или 25H2 для поддержки новых сертификатов Secure Boot [6][14]. |
| Windows 10 | Зарегистрируйтесь в программе Extended Security Updates (ESU) для получения критических патчей [6]. |
| UEFI/BIOS | Проверьте страницы поддержки производителя (OEM) на наличие обновлений прошивки, необходимых для хранения новых сертификатов [6][12]. |
2. Обновление сертификатов Secure Boot
Ожидается, что срок действия оригинальных сертификатов Secure Boot истечет в июне 2026 года [9][14]. Невыполнение этого обновления может привести к «снижению уровня безопасности», не позволяя системе загружать будущие средства защиты на уровне загрузки или новые операционные системы [9].
Чтобы проверить статус вашей системы, выполните следующие действия:
- Откройте PowerShell или Терминал от имени администратора [6].
- Запустите команду:
([System.Text.Encoding]::ASCII.GetString((Get-SecureBootUEFI db).bytes) -match 'Windows UEFI CA 2023')[6]. - Если результат —
True, ваш ПК использует новый сертификат 2023 года [6]. - Если
False, убедитесь, что Secure Boot включен вmsinfo32, и примените все ожидающие обновления Windows [6].
Предупреждение: Если вы выполняете сброс ключей Secure Boot до заводских настроек в BIOS, чтобы освободить место для новых сертификатов, убедитесь, что у вас есть ключ восстановления BitLocker, чтобы избежать блокировки доступа к диску [6].
Риски и ограничения
Ручные меры защиты, такие как отключение разрешения файлов, могут повлиять на эффективность рабочего процесса или вызвать проблемы с совместимостью в некоторых приложениях [9][15]. Кроме того, хотя эти шаги значительно минимизируют риски, ни одна конфигурация не может быть названа полностью безопасной [2].
Если устройство не получит обновленные сертификаты до крайнего срока в 2026 году, оно может продолжить работу, но потеряет возможность устанавливать новые средства защиты от обнаруженных уязвимостей на уровне загрузки [9]. Если вы не уверены в своих силах при внесении изменений на уровне BIOS или ручном редактировании реестра, безопаснее обратиться за профессиональной технической поддержкой, чтобы избежать непреднамеренной нестабильности системы [10].
Риски, ограничения и когда стоит остановиться
Хотя поддержание Windows 11 в актуальном состоянии является основной защитой от активных эксплойтов, этот процесс сопряжен с техническими сложностями, которые иногда могут привести к осложнениям. Важно понимать, что ни один патч безопасности не дает полной гарантии безопасности, а некоторые обновления требуют большего, чем просто перезагрузка, чтобы стать эффективными [8][14].
Потенциальные осложнения при обновлении
Обновления безопасности, особенно затрагивающие корень доверия Secure Boot, могут привести к «снижению уровня безопасности», если они применены неправильно [13]. Если устройство не получит новые сертификаты до истечения срока действия старых, оно может стать более уязвимым для атак на уровне загрузки и в конечном итоге столкнуться с проблемами совместимости с новым оборудованием или прошивками [13].
Кроме того, пользователи, участвующие в программе Windows Insider, должны знать, что предварительные сборки часто не полностью локализованы и могут содержать функции, которые могут быть удалены или заменены до выхода в общий доступ [9]. Эти сборки предназначены для тестирования и могут не обеспечивать стабильность, необходимую для критически важных рабочих сред [9].
Риски неполного устранения последствий
Применение патча часто является лишь первым шагом в защите системы после обнаружения уязвимости. В случаях активной эксплуатации, таких как DLL sideloading или кража учетных данных, простое обновление программного обеспечения может не удалить существующего злоумышленника из сети [15].
| Сценарий | Фактор риска | Рекомендуемая перспектива |
|---|---|---|
| Устаревшая ОС | Windows 10 и старше (без ESU) не получат новые сертификаты Secure Boot [13]. | Обновление до поддерживаемой версии необходимо для долгосрочной защиты [13]. |
| Активный взлом | Патчинг не удаляет автоматически несанкционированные инструменты RMM [15]. | Требуется реагирование на инцидент и смена учетных данных [15]. |
| Интеграция ИИ | 91% пользователей обеспокоены вредом от ИИ [8]. | Технический контроль должен сочетаться с цифровой грамотностью [1][12]. |
Когда остановиться и обратиться за помощью
Существуют ситуации, когда обычному пользователю или небольшой ИТ-команде следует сделать паузу и проконсультироваться со специалистом. Попытки устранить сложные нарушения безопасности без надлежащих инструментов иногда могут привести к дальнейшей потере данных или нестабильности системы.
Вам стоит остановиться, если вы заметили следующее:
- Признаки активного взлома: Если вы обнаружили несанкционированные артефакты, такие как
ToolsIQ.exe, или следы доступа к памяти LSASS, простого патча уже недостаточно [15]. - Постоянные ошибки обновления: Если Windows Update неоднократно не может установить критические патчи безопасности, базовая архитектура безопасности системы уже может быть скомпрометирована или повреждена [13].
- Злоупотребление высокопривилегированными учетными данными: Если есть признаки активности DCSync или несанкционированные запросы паролей от контроллера домена, масштаб проблемы, скорее всего, превышает возможности локального ремонта ПК [15].
- Ошибки на уровне оборудования: Ошибки во время обновления прошивки или Secure Boot могут сделать устройство неработоспособным при неправильном обращении [13].
Цифровая безопасность — это постоянно меняющийся вызов, требующий комплексного подхода [1]. В то время как такие инструменты, как Microsoft Education Security Toolkit, предоставляют рекомендации для учреждений, обычные пользователи должны сохранять бдительность [5][12]. Если вы не уверены в статусе своей системы, обычно выгоднее обратиться за экспертной оценкой, чем пытаться исправить глубокий сбой безопасности вручную.
Часто задаваемые вопросы
Сколько уязвимостей нулевого дня было исправлено в последнем обновлении?
Согласно последним отчетам, выпуск Patch Tuesday за февраль 2026 года устранил шесть уязвимостей нулевого дня [2][8][10]. Эти уязвимости были среди 59 CVE, исправленных в этом цикле обновлений [2][10]. Для сравнения, январское обновление 2026 года устранило 114 CVE, включая три нулевых дня, что показывает сохраняющуюся тенденцию активной эксплуатации систем Microsoft Windows [8][15].
Каковы основные риски, связанные с этими эксплойтами?
Основными методами эксплуатации, выявленными в последних циклах безопасности, являются повышение привилегий, удаленное выполнение кода (RCE) и раскрытие информации [15]. Анализ аналогичных циклов патчей показывает, что на повышение привилегий часто приходится почти 45% исправлений, а на удаленное выполнение кода — около 26% [15]. Многие критические уязвимости в настоящее время требуют определенного уровня взаимодействия с пользователем для успешной эксплуатации [15].
Могу ли я по-прежнему получать обновления безопасности, если использую Windows 10?
Да, пользователи могут получать критические обновления через программу Extended Security Updates (ESU) до 13 октября 2026 года [4][11]. Регистрация доступна для подходящих устройств под управлением версии 22H2 [11]. Существует три основных способа регистрации:
- Бесплатно путем синхронизации Параметров ПК [11].
- Путем обмена 1000 баллов Microsoft Rewards [11].
- Через разовую покупку за 30 долларов США (или эквивалент в местной валюте) [11].
Как проверить, установлены ли на моем устройстве последние патчи?
Вы можете проверить текущий статус обновлений, перейдя в Settings > Update & Security > Windows Update [4][9]. Для участников программы ESU статус регистрации и история заказов также видны в профиле учетной записи Microsoft Store или в настройках обновлений устройства [7][12]. Эксперты советуют использовать Руководство по обновлениям безопасности вместе с историей обновлений, чтобы точно видеть, какие уязвимости были устранены [13].
Что делать, если мое оборудование не поддерживает Windows 11?
Если устройство не подходит для обновления до Windows 11, Microsoft рекомендует зарегистрироваться в программе ESU, чтобы поддерживать защиту от вирусов и вредоносного ПО до завершения программы в конце 2026 года [4][11]. Для долгосрочной безопасности отраслевые аналитики предлагают рассмотреть покупку Copilot+ PC или другого современного оборудования, поддерживающего новейшие функции и архитектуру безопасности [7]. Важно отметить, что устройства остаются более уязвимыми для эксплуатации, чем дольше они остаются без патчей или вне программы расширенной поддержки [4][11].
Можно ли отменить подписку ESU или получить возврат средств?
Для разовых покупок, совершенных через Microsoft Store, заказы обычно можно было отменить до 14 октября 2025 года [4][9]. После этой даты возврат средств обычно осуществляется в соответствии со стандартной политикой покупки цифровых товаров в вашей стране или регионе [9]. Однако, если вы зарегистрировались в программе бесплатно через синхронизацию настроек или обмен баллов Microsoft Rewards, такие транзакции обычно считаются окончательными и не подлежат возврату или обмену [9].
Резюме / Ключевые выводы
Patch Tuesday за февраль 2026 года служит критическим напоминанием о меняющемся ландшафте угроз, особенно в отношении быстрой эксплуатации уязвимостей до применения патчей.
- Объем критических уязвимостей: Февральское обновление 2026 года устранило 59 CVE, включая шесть уязвимостей нулевого дня, которые, по сообщениям, активно эксплуатировались [1][2]. Это следует за масштабным январским обновлением, исправившим 114 уязвимостей [1].
- Цели активной эксплуатации: Аналитики выявили активную эксплуатацию SolarWinds Web Help Desk (WHD) через
CVE-2025-40551,CVE-2025-40536иCVE-2025-26399[11]. Злоумышленники потенциально используют эти бреши для получения первоначального доступа и повышения привилегий [11]. - Продвинутые методы атак: Наблюдаемые кампании использовали DLL sideloading для злоупотребления
wab.exe, что позволяло хакерам получать доступ к памятиLSASSи красть высокопривилегированные учетные данные [11]. В некоторых случаях это приводило к атакам DCSync на контроллеры домена [11]. - Требования к немедленной защите: Рекомендации для затронутых организаций включают немедленную установку патчей, ограничение публичного доступа к административным путям и смену всех паролей сервисных и административных аккаунтов [11]. Изоляция скомпрометированных хостов является необходимым шагом при реагировании на инцидент [11].
- ИИ и новые риски: Хотя инструменты безопасности на базе ИИ интегрируются для обнаружения вредоносного ПО на скорости машины, растет обеспокоенность по поводу вреда, наносимого самим ИИ: примерно 91% людей выражают беспокойство по поводу новых рисков, связанных с искусственным интеллектом [5][10].
Если вы не уверены в целостности своей системы, обычно дешевле один раз спросить специалиста, чем позже исправлять последствия ошибки.
Источники
[1] Safer Internet Day 2026: Helping students be AI aware | Microsoft Education Blog
[2] Building a safer digital future, together
[3] Updates in two of our core priorities - The Official Microsoft Blog
[4] Microsoft Launches AI QuickStart Programme with Support from IMDA and UOB - S...
[5] Microsoft releases urgent Office patch. Russian-state hackers pounce.
[6] Analysis of active exploitation of SolarWinds Web Help Desk | Microsoft Secur...
[7] Refreshing the root of trust: industry collaboration on Secure Boot certifica...
[8] Announcing Windows 11 Insider Preview Build 26220.7755 (Beta Channel)
[9] Announcing Windows 11 Insider Preview Build 26300.7760 (Dev Channel)
[10] Security Advisories and Bulletins
[11] Windows 10 Extended Security Updates | Microsoft Windows
[12] Microsoft Security Response Center Blog
[13] 24h2, 25h2 security updates list - Microsoft Q&A
[14] Windows' original Secure Boot certificates expire in June—here's wh...
[15] Two Windows vulnerabilities, one a 0-day, are under active exploitation
[16] September 2025 Patch Tuesday: Updates and Analysis | CrowdStrike
[17] The Hacker News - Google News
[18] CybersecurityNews - Google News
[19] CybersecurityNews - Google News
[20] CISA: VMware ESXi flaw now exploited in ransomware attacks
[21] Critical SolarWinds Web Help Desk bug under attack
[22] Someone
[23] SolarWinds Web Help Desk Exploited for RCE in Multi-Stage Attacks on Exposed ...
[24] Microsoft February 2026 Patch Tuesday fixes 6 zero-days, 58 flaws
[25] Microsoft releases Windows 10 KB5075912 extended security update
[26] Windows 11 KB5077181 & KB5075941 cumulative updates released
[27] Microsoft rolls out new Secure Boot certificates before June expiration
[28] Microsoft dials up the nagging in Windows, calls it security
[29] CISA Adds Actively Exploited SolarWinds Web Help Desk RCE to KEV Catalog
[30] Nach Windows-Update: Zero-Day-Lücke erlaubt lokale Rechteausweitung
[31] Windows Updates: New Boot Certificates, Error Fixes, and New Problems
[32] Microsoft is refreshing Secure Boot certificates to plug security holes befor...
[33] Microsofts Patch-Day schliet diese aktiv ausgenutzten Schwachstellen
[34] Microsoft warns Secure Boot certificates will expire soon — what to expect
[35] PC gaming issues traced to Windows Update, according to NVIDIA
[36] Yet another Windows update is wreaking havoc on gaming rigs worldwide —...
[37] Dutch Authorities Confirm Ivanti Zero-Day Exploit Exposed Employee Contact Data
[38] China-Linked UNC3886 Targets Singapore Telecom Sector in Cyber Espionage Camp...
[39] Your PC's critical security certificates may be about to expire - how to...
[40] Microsoft is keeping Secure Boot alive with Windows updates
[41] 1,000+ Flaws Found, Including Critical IT & ICS Vulnerabilities
[42] Cisco Meeting Management Vulnerability Allows Remote Attackers to Upload Arbi...
[43] Windows-Lücke CVE-2026-20805: Kritisches Update gegen aktive Angriffe
[44] CVE 2026 The Vulnerability Landscape: When Identity Breaks and Legacy Code Bi...
[45] CERT-Bund warnt: 2.500 VMware ESXi-Server im Internet erreichbar; Angriffe üб...
[46] Microsoft Patch Tuesday, February 2026 Security Update Review | Qualys
[47] Debian DSA-6126-1 Linux Kernel Privilege Escalation DoS Issues
[48] BeyondTrust fixes easy-to-exploit pre-auth RCE vulnerability in remote access...
[49] CVE-2026-1731 | Arctic Wolf
[50] Windows Error Reporting Vulnerability Allows Attackers to Elevate Privileges
[51] CISA Warns of VMware ESXi 0-day Vulnerability Exploited in Ransomware Attacks
[52] BeyondTrust Remote Support has a critical vulnerability
[53] Ivanti EPMM exploitation widespread as governments, others targeted
[54] CVE-2025-22225 in VMware ESXi now used in active ransomware attacks
[55] February Patch Tuesday: Microsoft drops six zero-days | Computer Weekly
[56] I tested Windows 11 February 2026 Updates: Everything new, improved, and fixed
[57] Microsoft Patch Tuesday security updates for February 2026 fix six actively e...
[58] Microsoft fixes six actively exploited flaws in latest Windows 11 update
[59] CVE-2026-21509: APT28 Exploits Microsoft Office Zero-day Vulnerability
[60] Microsoft Security Update Summary (9. Februar 2026)
[61] Microsoft Patch Tuesday for February 2026 — Snort rules and prominent vulnera...
[62] CISA confirms exploitation of VMware ESXi flaw by ransomware attackers - Help...
[63] Microsoft Patch Tuesday February 2026 – 54 Vulnerabilities Fixed, Including 6...
[64] Microsoft Patch Tuesday – February 2026 - Lansweeper
[65] Week in review: Notepad++ supply chain attack details and targets, Patch Tues...
[66] Microsoft Patch Tuesday matches last year’s zero-day high with six actively e...
[67] Microsoft Beefs Up Runtime Security
[68] Deep Dive: Inside the Warlock Ransomware Breach of SmarterTools
[69] A Deep Dive into CVE-2026-25049: n8n Remote Code Execution
[70] FinancialContent - The 2026 NVIDIA Deep-Dive: Resilience in the Age of AI Rat...
[71] FinancialContent - BE Q4 Deep Dive: Data Center Demand and On-Site Power Mome...
[72] OpenClaw Configuration Details: A Complete Guide to openclaw.json & Best ...
[73] FinancialContent - MWA Q4 Deep Dive: Pricing Actions and Operational Efficien...
[74] CrowdStrike Plunges 22% in 3 Months: Time to Hold or Fold the Stock?
[75] FinancialContent - CrowdStrike (CRWD) Stock Trades Up, Here Is Why
[76] CrowdStrike stock sinks on insider sale plan as ‘software-mageddon’ rout bite...
[77] CVE-2026-21643: Critical SQL Injection Vulnerability in Fortinet FortiClientEMS
[78] CrowdStrike (CRWD) Stock Is Up, What You Need To Know
[79] The CVE system isn’t working – what
[80] CrowdStrike is the Only Vendor Named as a Customers’ Choice in the 2025 Gartn...
[81] Windows 11 KB5077181 25H2 out with new features, direct download links for of...
[82] Known Exploited Vulnerabilities Catalog | CISA
[83] Microsoft Releases Dev and Beta Builds to Insiders With a Few New Features
[84] NVD - cve-2026-21265
[85] NVD - Search and Statistics
[86] Windows 10 wird unsicher – Zeit für den Wechsel
[87] Patchday: Windows 10/11 Updates (9. Februar 2026)
[88] Version 1.0: Microsoft Windows - Kritische Schwachstelle in Windows OLE
[89] Microsoft veröffentlicht KB5075941 für Windows 11 Version 23H2 – it-blo...
[90] February 2026 Patch Tuesday forecast: Lots of OOB love this month - Help Net ...
[91] Researchers delve inside new SolarWinds RCE attack chain | Computer Weekly
[92] European Governments Breached in Zero-Day Attacks Targeting Ivanti
[93] New Hacking Campaign Exploits Microsoft Windows WinRAR Vulnerability
[94] SANS Internet Stormcenter Daily Cyber Security Podcast (Stormcast)
[95] NES reviews ice storm response as community cleans up from 13-day outages
[96] Patch Tuesday February 2026: Security Updates & CVE Analysis
[97] Microsoft Explains Windows 11 Version 26H1 and Only Confuses Us More
[98] Microsoft patches 112 CVEs on first Patch Tuesday of 2026 | Computer Weekly
[99] Microsoft February 2026 Security Updates
[100] Something Happened ⭐
[101] Zero Day Initiative — The February 2026 Security Update Review
[102] Common Vulnerability Scoring System - Wikipedia
[103] Microsoft to Roll Out New Secure Boot Certificates to Keep Old Windows PCs Se...
[104] Microsoft stacks up 113 CVEs for January Patch Tuesday
[105] React2Shell exploitation undergoes significant change in threat activity
[106] Microsoft’s January 2026 Patch Tuesday Addresses 113 CVEs (CVE-2026-20805)
[107] News brief: Patch critical and high-severity vulnerabilities now | TechTarget
[108] Microsoft is dropping Windows 11 support for millions of older printers
[109] Microsoft Releases February 2026 Patch Tuesday Updates
[110] Microsoft and Adobe Patch Tuesday, January 2026 Security Update Review | Qualys
[111] Microsoft January 2026 Security Update Breaks Remote Desktop Credential Prompts
[112] Users Solve Windows 11 Issues With Four Settings Checks
[113] Windows Won't Shut Down After Update? Here's How to Fix It - Make T...
[114] Microsoft Patch Tuesday – January 2026 - Lansweeper
[115] Microsoft Patch Tuesday: January 2026 | Arctic Wolf
[116] Windows 11 KB5077181 (25H2): nuevas funciones y descarga directa en .MSU — lo...
[117] Windows 11 February 2026 Patch Tuesday Released: KB5077181 and KB5075941 Now ...
[118] Why Microsoft’s Windows 11 Print Driver Shake-Up Matters?
[119] Microsoft Discloses ‘Extraordinarily High’ Number Of Zero-Day Vulnerabilities...
[120] Fancy Bear Exploits Microsoft Zero-Day to Deploy Backdoors and Email Stealers
[121] Cybersecurity Weekly Newsletter - Notepad++ hack, Office 0-Day, ESXi 0-day Ra...
[122] Microsoft Office Zero-Day Vulnerability, CVE-2026-21509, Under Active Exploi...
[123] Microsoft Office Zero-Day Actively Exploited - Emergency Patches Released
[124] Largest Multi-Agency Cyber Operation Mounted to Counter Threat Posed by Advan...
[125] Singapore Takes Down Chinese Hackers Targeting Telco Networks
[126] CVE-2025-62221 and CVE-2025-54100: Windows Elevation of Privilege and RCE Zer...
[127] Energy and utilities cyber threats escalate as ransomware and APT activity ri...
[128] CVE-2026-20805: Microsoft Fixes Actively Exploited Windows Desktop Manager Ze...
[129] Singapore confirms UNC3886 espionage campaign against telecom sector, prompts...
[130] 9th February – Threat Intelligence Report - Check Point Research
[131] Microsoft Office vulnerability (CVE-2026-21509) in active exploitation
[132] Attackers exploit decade‑old Windows driver flaw to shut down modern EDR defe...
[133] Microsoft releases Windows 11 KB5077181 with new features and critical fixes
[134] Microsoft admits Windows 11 issues, pivots team to rebuild user trust
[135] XFN 1.1 profile
[136] XFN 1.1 profile
[137] fonts.googleapis.com
[138] Known Exploited Vulnerabilities Catalog | CISA
[139] BleepingComputer (@[email protected]) - Infosec Exchange
[140] The Hacker News
[141] The Hacker News | LinkedIn
[142] The Hacker News
[143] fonts.googleapis.com
[144] fonts.googleapis.com
[145] Thurrott․com
[146] Registration • The Register
[147] Known Exploited Vulnerabilities Catalog | CISA
[148] Help Net Security | LinkedIn
[149] fonts.googleapis.com
[150] Largest Multi-Agency Cyber Operation Mounted to Counter Threat Posed by Advan...
Relevant Services
More from the Blog
- Производительность Windows 11: почему ваш быстрый ПК кажется медленным(1 мар. 2026 г.)
- Рестайлинг меню «Пуск» в Windows 11: почему пользователи недовольны(1 мар. 2026 г.)
- Новое меню «Пуск» в Windows 11 вызывает флешбэки из времен Windows 8(1 мар. 2026 г.)
- Microsoft Copilot Tasks: как ИИ-агенты теперь автоматизируют работу(1 мар. 2026 г.)
- Трамп приказал госучреждениям США прекратить использование ИИ Anthropic(28 февр. 2026 г.)
- Драйвер NVIDIA GeForce 595.59: критический баг вентиляторов и откат версии(28 февр. 2026 г.)
- View all blog posts
Brauchen Sie Hilfe?
Wir reparieren Ihren PC oder Laptop schnell und zuverlässig.
Jetzt Reparatur anfragen