Майский "В тренде VM": громкие уязвимости в Linux, ActiveMQ, SharePoint и Adobe Acrobat Reader. Представляю традиционную ежемесячную подборку трендовых уязвимостей по версии Positive Technologies. Если в прошлом апрельском выпуске была всего одна уязвимость, то в этот раз уже четыре и весьма разноплановых.

🗞 Пост на Хабре
🗒 Дайджест на сайте PT

🔻 EoP - Linux Kernel "Copy Fail" (CVE-2026-31431). Уязвимость позволяет получить права root на Linux-хосте.

🔻 RCE - Apache ActiveMQ (CVE-2026-34197). Уязвимость в решении, широко используемом в корпоративных системах и интеграционных платформах.

🔻 Spoofing - Microsoft SharePoint Server (CVE-2026-32201). Уязвимость в решении Microsoft, широко используемом в корпоративных системах для организации совместной работы, управления документами и построения внутренних порталов.

🔻 RCE - Adobe Reader (CVE-2026-34621). Уязвимость в распространенном решении для просмотра PDF-документов; эксплуатируется в фишинговых атаках.

🟥 Полный список трендовых уязвимостей смотрите на портале

Напишу несколько слов про прошедшую в пятницу конференцию "ПЕРИМЕТР" от Metascan. Мои ожидания оправдались на 100%. Получилась настоящая VM-ная конфа с фокусом на детектировании уязвимостей. Давненько не был на мероприятиях, где программа была бы НАСТОЛЬКО интересной и профильной для меня. 😇 Я отсмотрел все выступления, которые планировал и по ходу дела вёл трансляцию в своём Live-канале в MAX (начиная с этого сообщения). Также слайды с комментариями к конфе выкладывал Василий Пластунов в свой ТГ-канал VP Cybersecurity Brief. Больше всего мне понравились кейноты Давида Ордяна про недостатки детектирования сервисов в ванильном Nmap и про то, как Metascan их решает собственными доработками ("Пробы не появятся сами по себе!" 😉), а также про статистику по уязвимостям корпоративных инфраструктур. На стенде Xello узнал, что они делают собственное VM-решение. 🔍 На стенде Сбера обсудили развитие SBER X-TI.

Небольшой ложкой дёгтя стало то, что в малом зале, где я выступал, были проблемы с экраном. Большая часть текста отображалась очень блекло и не читалась. В какой-то момент преза вообще зависла. 🤷‍♂️ Пришлось как-то выкручиваться и импровизировать. 😅 В итоге доклад фактически перешёл в интерактивное общение с залом о том, что такое "exposure", Gartner CTEM и EASM/EASA, насколько имеет смысл использовать западную терминологию в России и, если использовать, то на что делать акценты, чтобы это не было маркетинговыми играми, а способствовало повышению реальной защищённости организаций. Благо аудитория собралась глубоко погружённая в тему. Всем большое спасибо за вопросы и комментарии! Отдельно хотелось бы поблагодарить за участие Наталью Георгиевну Милославскую, у которой на днях вышла монография по Управлению Уязвимостями. 🔥

В развлекательной программе тоже поучаствовал. С удовольствием поиграл в ретроигрушки на приставках. 😅👍

Большое спасибо организаторам за мероприятие! Очень надеюсь, что оно станет ежегодным. 😉

У конференции "ПЕРИМЕТР", которая пройдёт в эту пятницу, финализировалось расписание. Я отобрал для себя выступления, на которые собираюсь сходить. Как и предполагалось, подавляющее число докладов профильные VM-ные. Даже приходится выбирать, что смотреть вживую, а что потом в записи (очень надеюсь, что запись будет, т.к. темы ТОПовые 🙏).

Вживую собираюсь смотреть:

10:45 - Блеск и нищета сетевого сканирования. О векторах атак, которые пропустили и пентестеры и blueteam. Метаскан. В главном зале.

11:40 - Сравнение OnPrem VM-вендоров, что работает, а что - нет. Диалог Наука. В малом зале.

12:20 - Периметр 2026 Обзорный доклад о состоянии защищенности корпоративных инфраструктур. Метаскан. В главном зале.

13:00 - Защита внешнего периметра крупной организации. СБЕР. В главном зале.

14:50 - Impact 25-26: Самые интересные находки 25-26 позволившие проникнуть через внешний периметр. Метаскан. В главном зале.

16:00 - Периметр в облаке: что должен сделать CISO, чтобы не остаться один на один с РКН. Б-152. В малом зале.

✳️ 16:40 - Роль и место EASM в VM/CTEM-процессе. Александр Леонов. В малом зале. Приходите поддержать и пообщаться. 😉

Круглый стол, который планировался, не собрался. Поэтому у меня будет только доклад.

Таймстемпы:

00:00 Приветствие, медиа-партнёры
03:25 Справедливо ли мнение, что CVSS как основная метрика приоритизации - это уже "технология 2002 года"? Почему в 2026 году компании всё ещё живут в логике "сортируем по CVSS", хотя есть EPSS, KEV и трендовые метрики? Это лень, незнание или инерция?
07:49 Насколько вопросы триажа, ранжирования и приоритизации уязвимостей делаются лучше с помощью нейросетей? Будет ли в будущем происходить быстрое сопоставление по разным шкалам и интегральная оценка с учётом искажений, которые есть в тех или иных системах метрик?
10:09 Автономные AI-агенты и VM
12:00 System-hardening и патчинг уязвимостей агентами без участия человека - уже реальность?
15:33 Насколько справедливо утверждение, что Exposure Management - это не просто "VM 2.0", а действительно другой взгляд на управление риском? В твоём понимании это эволюция или всё-таки революция, но с новым ценником? (Я тут попутал "croûton" и "croissant" в известной кино-цитате - сорян 🤦‍♂️🤷‍♂️🙂)
20:32 Про зашивание безопасности в IT/разработку, почему так много Linux-уязвимостей, и нужна ли замена Linux Kernel
30:08 Если завтра появится "идеальный ИИ", который с точностью 99% предсказывает, что уязвимость будет эксплуатирована в течение 30 дней, - правда ли, что роль VM-специалиста всё равно не исчезнет? В чём тогда останется человеческая зона ответственности?
32:31 О реализуемости полного моделирования путей атаки и автоматизированном реагировании
37:46 Насколько справедливо утверждение, что IT-отделы часто фактически саботируют VM? Как это выглядит на практике: это злой умысел, защита своих интересов или просто боль от перегрузки?
42:43 Как выглядит VM-процесс для систем, которые нельзя патчить или даже активно сканировать?
45:51 Как превратить IT-шников в ответственных хозяев своих активов?
48:48 Насколько сильно отличается подход к детектированию и управлению уязвимостями в Linux, контейнерах, Kubernetes и облаках от классического сканирования Windows-хостов? Где сегодня самые большие слепые зоны?
51:30 Детектирование - это только начало, а вся драма начинается после? Какие этапы после детекции чаще всего "рассыпаются" в реальных компаниях?
54:26 Блиц-вопросы
56:11 Заключение

📺 Смотрите на платформах: VK Видео, RUTUBE, YouTube.
🎧 Слушайте на платформах: Яндекс Музыка, Звук, Spotify, Pocket Casts, Deezer, Podcast Addict, Mave.

Майский Microsoft Patch Tuesday. Всего 119 уязвимостей, примерно в 1,5 раза меньше, чем в апреле. Уязвимостей с признаком эксплуатации вживую пока нет. Но есть одна уязвимость с публичным эксплоитом:

🔸 EoP - Windows Kernel (CVE-2026-40369). Подробный write-up и эксплойт по этой уязвимости были опубликованы 14 мая, через 2 дня после майского MSPT. Исследователь описывает эксплуатацию уязвимости так: "Всего один системный вызов (syscall) из любого непривилегированного процесса - включая песочницу рендерера Chrome - позволяет увеличивать значения по произвольным адресам памяти ядра. Без состояний гонки (race conditions). Без спреинга кучи (heap spray). Без специальных токенов. 100% детерминированное повышение привилегий до уровня SYSTEM."

Из остальных можно выделить:

🔹 RСE - Windows DNS Client (CVE-2026-41096). Аналитик ZDI прокомментировал эту уязвимость так: "Этот патч устраняет переполнение буфера в куче (heap-based buffer overflow) в DNS-клиенте, которое провоцируется вредоносным DNS-ответом. Не требуется ни аутентификация, ни взаимодействие с пользователем. А поскольку DNS-клиент запущен практически на каждой машине под управлением Windows, поверхность атаки огромна. Злоумышленник, способный повлиять на DNS-ответы (через MitM-атаку или поддельный DNS-сервер), может получить несанкционированное удаленное выполнение кода (RCE) во всей вашей корпоративной сети."

🔹 RСE - Windows Netlogon (CVE-2026-41089). Уязвимость позволяет неавторизованному удаленному атакующему выполнить произвольный код на контроллере домена путем отправки специально сформированного сетевого запроса. Для эксплуатации не требуются учетные данные или взаимодействие с пользователем, что классифицирует эту уязвимость как wormable. Компрометация контроллера домена означает полную компрометацию всего домена организации. Аналитик Rapid7 в своём комментарии добавил: "Не требуется никаких привилегий или взаимодействия с пользователем, а сложность атаки (attack complexity) оценивается как низкая. Это указывает на то, что создание надежного эксплоита вряд ли вызовет особые трудности у любого, кто знаком с конкретным механизмом работы уязвимости. Microsoft оценивает вероятность эксплуатации как "менее вероятную" (less likely), однако, поскольку эти оценки публикуются без сопутствующих объяснений, неясно, насколько защитники могут на них полагаться. Каждый, кто помнит активно обсуждавшуюся в 2020 году уязвимость CVE-2020-1472 (также известную как ZeroLogon), заметит, что CVE-2026-41089 позволяет атакующему гораздо быстрее и проще скомпрометировать контроллер домена. Патчи уже доступны для всех версий Windows Server, начиная с 2012."

🔹 RСE - Windows TCP/IP (CVE-2026-40415). Комментарий аналитика ZDI: "Эта уязвимость в стеке TCP/IP вызвана ошибкой использования памяти после освобождения (use-after-free, UAF) и может позволить удаленному неавторизованному злоумышленнику выполнить код без какого-либо взаимодействия с пользователем. Это делает её еще одной wormable уязвимостью. Однако вероятность её реальной эксплуатации гораздо ниже. Целевая система должна находиться в условиях длительной нехватки оперативной памяти (memory pressure), что встречается довольно редко."

🔹 RСE - Microsoft Word (CVE-2026-40361, CVE-2026-40364, CVE-2026-40366, CVE-2026-40367). Злоумышленник может эксплуатировать эти уязвимости с помощью социальной инженерии, отправив вредоносный файл намеченной жертве. Успешная эксплуатация предоставит атакующему права на выполнение кода. Исследователи Microsoft отмечают, что область предварительного просмотра (Preview Pane) является вектором атаки для каждой из этих уязвимостей

🔹 RСE - Microsoft Office (CVE-2026-40363, CVE-2026-42831). Уязвимость, связанная с переполнением буфера в куче (heap-based buffer overflow) в Microsoft Office, может позволить неавторизованному злоумышленнику удаленно выполнить произвольный код.

🔹 RСE - Windows GDI (CVE-2026-35421). Уязвимость, связанная с переполнением буфера в куче (heap-based buffer overflow) в компоненте Windows GDI, может позволить неавторизованному злоумышленнику удаленно выполнить произвольный код.

🔹 RСE - Microsoft Dynamics 365 On-Premises (CVE-2026-42898). Комментарий аналитика ZDI: "Уязвимость позволяет любому аутентифицированному пользователю выполнять код с изменением области действия (scope change). Это означает, что в процессе эксплуатации атака может выйти за рамки уязвимого компонента и затронуть другие ресурсы. Изменения области действия (scope changes) встречаются довольно редко, поэтому, если вы используете Dynamics 365 On-Premises, обязательно протестируйте и разверните этот патч как можно скорее."

🔹 EoP - Windows Kernel (CVE-2026-33841, CVE-2026-35420, CVE-2026-40369). Уязвимости CVE-2026-33841 и CVE-2026-40369 получили оценку "Эксплуатация более вероятна" (Exploitation More Likely). Локальный атакующий может использовать их для повышения своих привилегий до уровня SYSTEM. В случае с CVE-2026-33841, он может повысить привилегии до Medium/High integrity level

🗒 Полный отчёт Vulristics

Про уязвимость Remote Code Execution - Apache ActiveMQ (CVE-2026-34197). Apache ActiveMQ - популярный брокер сообщений с открытым исходным кодом, написанный на языке Java. Его основная задача - передавать сообщения между разными сервисами, системами и микросервисами без прямого соединения между ними.

Уязвимость из апрельского Linux Patch Wednesday. Подробности об уязвимости были опубликованы 7 апреля в блоге компании HORIZON3.ai. Они утверждают, что эта уязвимость в Apache ActiveMQ Classic оставалась незамеченной на протяжении 13 лет. Атакующий может вызвать управляющую операцию ("invoke a management operation") через API Jolokia в ActiveMQ, чтобы заставить брокер загрузить удалённый файл конфигурации и выполнить произвольные команды операционной системы. В результате злоумышленник может получить доступ к конфиденциальной информации, включая сообщения, учётные данные и файлы конфигурации, внедрить вредоносное ПО или использовать скомпрометированный сервер для дальнейшего развития атаки внутри инфраструктуры.

Для эксплуатации уязвимости требуются учётные данные, однако во многих средах по-прежнему используются стандартные учётные данные (admin:admin). В некоторых версиях (6.0.0-6.1.1) учётные данные не требуются вовсе из-за другой уязвимости, CVE-2024-32114, которая непреднамеренно открывает доступ к API Jolokia без аутентификации. В этих версиях CVE-2026-34197 фактически является unauthenticated RCE.

🛠 Публичные эксплоиты доступны на GitHub с 8 апреля.

👾 Признаки эксплуатации уязвимости в реальных атаках были зафиксированы экспертами компании FortiGuard 13 апреля. Уязвимость была добавлена в CISA KEV 16 апреля.

🌐 По данным The Shadowserver Foundation на 14 мая в интернете оставалось доступно около 7000 уязвимых серверов Apache ActiveMQ.

⚙️ Согласно бюллетеню вендора, уязвимость устранена в версиях ActiveMQ 5.19.4 и 6.2.3. Но, по данным HORIZON3.ai, она была устранена в 5.19.6 и 6.2.5. Лучше установить более старшие версии. 😉

Про уязвимость Spoofing - Microsoft SharePoint Server (CVE-2026-32201). Уязвимость из апрельского Microsoft Patch Tuesday. Описание, которое дали эксперты Microsoft, максимально неконкретное: "Некорректная проверка входных данных в Microsoft Office SharePoint позволяет неавторизованному атакующему выполнить спуфинг по сети. Атакующий, успешно проэксплуатировавший эту уязвимость, может просматривать некоторую чувствительную информацию (конфиденциальность), вносить изменения в раскрытую информацию (целостность), но не может ограничить доступ к ресурсу (доступность)." Спуфинг - это атака, при которой злоумышленник подделывает данные, адрес, идентификатор или доверенный источник, чтобы выдать себя за легитимного пользователя, сервис или систему.

Что же скрывается за этим описанием на самом деле? В апрельском обзоре на MSPT эксперт ZDI заметил, что уязвимости такого рода в SharePoint часто связаны с XSS-атаками.

🛠 23 апреля на GitHub был опубликован эксплойт, автор которого утверждает, что уязвимость сводится к следующему: "Неаутентифицированный атакующий может отправить специально сформированный HTTP-запрос для внедрения вредоносного JavaScript-кода (reflected XSS), который будет выполнен в контексте безопасности сайта SharePoint."

Иными словами, атакующий отправляет специально сформированный запрос на сервер SharePoint, из-за чего SharePoint формирует вредоносную ссылку от имени доверенного источника. Атакующий передаёт эту ссылку пользователю. Когда пользователь открывает такую ссылку, внедрённый вредоносный JavaScript выполняется в контексте SharePoint, что может использоваться для кражи данных из текущей сессии, перехвата токенов аутентификации, а также выполнения действий от имени пользователя через его активную сессию.

👾 Эксперты Microsoft отметили уязвимость как эксплуатируемую вживую в день публикации апрельского Microsoft Patch Tuesday, 14 апреля. Уязвимость была добавлена в CISA KEV. В тот же день исследователи из компании Defused сообщили о скоординированной разведывательной активности, нацеленной на уязвимые серверы SharePoint, которая осуществлялась с четырех IP-адресов в период с 1 по 11 апреля.

⚙️ Обновления доступны для Microsoft SharePoint Server 2016, 2019 и Subscription Edition.

С Днём Великой Победы! Советский народ заплатил чудовищную цену, чтобы победа над объединённой людоедами Европой стала реальностью. Повторение войны такого масштаба было бы ужасной трагедией. Но с каждым годом мы всё ближе к тому, что повторять всё-таки придётся. 😔

А потому нужно готовиться, наращивать потенциал по всем направлениям. Включая, безусловно, наступательный и оборонный киберпотенциал.

И обязательно нужно помнить главный урок Великой Войны: при необходимости хвалёную объединённую Европу можно успешно бить. Размолотить в руины, в хлам, в пепел, добраться до самого их чёртова логова. И делать это столько, сколько потребуется. До самой Победы!

Преданность Родине - высшая правота! С праздником всех нас!

На фото майор Крупенников поздравляет расчёт орудия лейтенанта Вашулина с падением Рейхстага.

Про уязвимость Elevation of Privilege - Linux Kernel "Dirty Frag" (CVE-2026-43284, CVE-2026-43500). По информации исследователя Hyunwoo Kim (@v4bel), Dirty Frag - это уязвимость (класс уязвимостей), которая позволяет локальному непривилегированному злоумышленнику получить права root на большинстве Linux-дистрибутивов путем объединения уязвимости xfrm-ESP Page-Cache Write (CVE-2026-43284) и уязвимости RxRPC Page-Cache Write (CVE-2026-43500). Эксплуатация этой цепочки позволяет злоумышленнику полностью скомпрометировать систему: получить доступ к любым файлам, отключить защиту, закрепиться в системе и использовать хост для дальнейших атак.

⚙️🛠 Описание цепочки уязвимостей, технический write-up и эксплойт были опубликованы 7 мая. Эксплуатабельность была подтверждена на актуальных дистрибутивах Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10, Fedora 44. Уязвимость xfrm-ESP Page-Cache Write присутствует в ядре начиная с cac2661c53f3 (2017-01-17) и вплоть до актуальной upstream-версии, а уязвимость RxRPC Page-Cache Write присутствует в ядре начиная с 2dc334f1a63a (2023-06) и вплоть до актуальной upstream-версии. Другими словами, фактический срок присутствия этих уязвимостей в ядре составляет около 9 лет.

Информация об уязвимости и эксплойт были опубликованы до появления пакетов, устраняющих уязвимость в дистрибутивах. Как сообщает исследователь, 7 мая он отправил подробную информацию об уязвимости и эксплоите в список рассылки linux-distros. Эмбарго было установлено на 5 дней, с соглашением, что если третья сторона опубликует эксплойт в интернете в течение этого периода, эксплойт "Dirty Frag" будет опубликован в открытом доступе. В тот же день так и произошло, информация утекла в паблик, эмбарго было нарушено. 🤷‍♂️ После чего уже сам исследователь сделал full disclosure.

Аналогичная громкая уязвимость прошлой недели Elevation of Privilege - Linux Kernel "Copy Fail" (CVE-2026-31431) послужила мотивацией для начала исследования "Dirty Frag". Как сообщает исследователь, xfrm-ESP Page-Cache Write в "Dirty Frag" использует тот же sink, что и "Copy Fail". Однако "Dirty Frag" срабатывает независимо от того, доступен ли модуль algif_aead. Иными словами, даже в системах, где применён workaround для "Copy Fail" (blacklist для algif_aead), Linux остаётся уязвимым для "Dirty Frag".

Почему используется цепочка из двух уязвимостей? Как сообщает исследователь, xfrm-ESP Page-Cache Write предоставляет мощный примитив произвольной 4-байтной записи (STORE) ("powerful arbitrary 4-byte STORE primitive"), аналогичный Copy Fail, и присутствует в большинстве дистрибутивов, однако для его использования требуется привилегия на создание namespace. В Ubuntu создание непривилегированных user namespace иногда блокируется политикой AppArmor. В такой среде xfrm-ESP Page-Cache Write не может быть вызван ("triggered"). RxRPC Page-Cache Write не требует привилегии на создание namespace, однако сам модуль rxrpc.ko отсутствует в большинстве дистрибутивов. Тем не менее, в Ubuntu модуль rxrpc.ko загружается по умолчанию. Объединение двух вариантов в цепочку позволяет перекрыть слепые зоны друг друга, что даёт возможность получить root-привилегии на всех основных дистрибутивах.

По состоянию на 8 мая исправление для xfrm-ESP Page-Cache Write (CVE-2026-43284) было замержено в основную ветку ядра, а исправление для RxRPC Page-Cache Write (CVE-2026-43500) ещё нет. Следует отслеживать появление пакетов обновлений CVE-2026-43284, CVE-2026-43500 для используемых Linux-дистрибутивов и своевременно устанавливать их. В качестве workaround-а исследователь уязвимости предлагает скрипт, который запрещает загрузку модулей esp4, esp6 и rxrpc, пытается выгрузить их из ядра и очищает кэш памяти Linux:

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Накину ещё немного по кейсу компрометации DAEMON Tools в ответ на комментарий уважаемого Игнатия Цукергохера.

🔹 "Кто-то ещё пользуется DAEMON Tools?! О_о"

Тут дело-то, конечно, не в DAEMON Tools как таковом, а в культуре потребления программных продуктов в принципе. Существует масса сверхпопулярного софта, разрабатываемого непонятно кем. Вот тот же DAEMON Tools - это поделие то ли латышской, то ли гонконгской компании. Что это вообще за компания, что там за люди работают, насколько они ответственно относятся к безопасности своих продуктов? 🤷‍♂️ Непонятно. А Notepad++? Может, там вообще никакой компании нет, просто какой-то один разработчик с ментальными проблемами, передавший доступ к репозиторию какому-то левому анонимусу (как в инциденте с XZ Utils). И это только софт для конечных пользователей. Если посмотреть на то, кто контролирует зависимости для софта, то там вообще мрак. Неудивительно, что злоумышленники прочухали, что атаковать кустарей и получать доступ к их клиентам - это просто и суперэффективно. Поэтому таких supply chain-атак будет только больше. И это не изменится, пока не изменится неадекватно доверчивое отношение к софту. Пока пользователи не перестанут вестись на модные продукты (а программисты - на модные библиотеки и фреймворки) как Эллочка Людоедка на блестящее ситечко, полностью игнорируя соображения безопасности. Пока же, к сожалению, наблюдаю обратные тенденции.

🔹 "По исследованию ясно, что атака скорее была точечная, сиречь целенаправленная, так как заражено сравнительно немного машин, и часть пользователей задело по касательной."

Тут тоже не могу согласиться. Устройства всех пользователей, которые установили себе DAEMON Tools с малварью, были скомпрометированы. То, что не на всех устройствах, по мнению исследователей Kaspersky, злоумышленники устанавливали минималистичный бэкдор и QUIC RAT, - дело десятое. Никто не может гарантировать пользователям, что злоумышленники на системе не закрепились. Единственная рекомендация здесь может быть - вайпать машину и перенакатывать операционку, особенно в случае корпоративной среды.