Основы Интернет - технологий.

Июньский «вторник обновлений» оказался одним из крупнейших за последние годы. Инженеры компании Microsoft устранили более 200 уязвимостей, включая несколько публично раскрытых 0-day и опасный баг в Exchange Server, который уже использовался в реальных атаках.

На этой неделе были выпущены патчи для множества уязвимостей в Windows, Office, Exchange, Azure и других продуктах компании. При этом почти 40 багов получили статус критических, и значительная часть уязвимостей позволяет удаленно выполнить код или повысить привилегии в системе.

Среди исправленных в этом месяце проблем числятся сразу шесть 0-day-уязвимостей. Напомним, что Microsoft относит к разряду 0-day не только уязвимости, которые уже эксплуатируются в реальных атаках, но и проблемы, информация о которых была публично раскрыта до выхода официальных патчей. Пять из исправленных в июне 0-day относились ко второй категории, то есть информация о них была раскрыта до выхода патчей, и только одна проблема уже использовалась злоумышленниками на практике.

В частности, разработчики устранили сразу несколько уязвимостей, эксплоиты для которых ранее опубликовал ИБ-исследователь, известный под псевдонимом Nightmare Eclipse (он же Chaotic Eclipse). Речь идет о проблеме повышения привилегий GreenPlasma (CVE-2026-45586), обходе защиты BitLocker, получившей имя YellowKey (CVE-2026-45585), а также об уязвимости MiniPlasma (CVE-2020-17103), которую сам исследователь охарактеризовал как неполностью исправленный баг пятилетней давности.

Напомним, что конфликт Nightmare Eclipse с компанией Microsoft длится уже несколько месяцев, и мы не раз рассказывали об этой ситуации и причинах ее возникновения (1, 2) на страницах ][.

Также среди июньских патчей присутствует исправление для недавно описанной атаки HTTP/2 Bomb (CVE-2026-49160). Как объясняли авторы этого исследования, проблема кроется в стандартной конфигурации HTTP/2 и не связана с какой-либо конкретной реализацией протокола. В результате под ударом оказались популярные веб-серверы и прокси, включая nginx, Apache HTTP Server, Microsoft IIS, Envoy и Cloudflare Pingora.

Для дополнительной защиты от подобных атак инженеры Microsoft создали новый параметр реестра MaxHeadersCount, ограничивающий количество заголовков в HTTP/2- и HTTP/3-запросах.

Помимо YellowKey, специалисты Microsoft исправили еще один публично раскрытый обход BitLocker — CVE-2026-50507. Судя по всему, этот патч связан с проблемой нулевого дня, которая получила имя bitskrieg и была раскрыта на прошлой неделе независимым исследователем Йонасом Люккегором (Jonas Lykkegaard). Как и YellowKey, эта проблема позволяла получить доступ к зашифрованным данным при физическом доступе к устройству.

При этом известный ИБ-эксперт Уилл Дорманн (Will Dormann) предупреждает, что после установки патча для bitskrieg некоторые системы могут отображать ошибку загрузки ключа BitLocker.

Единственной 0-day-уязвимостью, которая уже использовалась хакерами, стала CVE-2026-42897 в Exchange Server. Как уже сообщалось ранее, эта проблема позволяет выполнить произвольный jаvascript-код в браузере жертвы через специально подготовленное письмо (если пользователь откроет письмо в Outlook Web Access и выполнит «ряд условий»). При этом подчеркивается, что полноценный патч для этого бага все еще находится в разработке, и пока компания развертывает временные защитные меры через Exchange Emergency Mitigation Service.

Однако одними 0-day дело не ограничилось. Так, одной из наиболее серьезных проблем, которые устранили в этом месяце, специалисты называют CVE-2026-45657 (9,8 балла по шкале CVSS), обнаруженную в ядре Windows. Эта уязвимость связана с ошибкой типа use-after-free и позволяет удаленно выполнить код через специально сформированный сетевой трафик.

Еще две опасные RCE-уязвимости получили идентификаторы CVE-2026-47291 и CVE-2026-44815 (9,8 балла по шкале CVSS в обоих случая). Первая затрагивает HTTP.sys, а вторая — DHCP Client. В обоих случаях атакующий получает возможность удаленно выполнить произвольный код, и для этого не требуются учетные данные или взаимодействие с пользователем.

Исследователи отмечают, что объем этого июньского «вторника обновлений» оказался рекордным. Глава Trend Micro Zero Day Initiative (ZDI) Дастин Чайлдс (Dustin Childs) объясняет, что стремительный рост количества обнаруживаемых уязвимостей во многом связан с использованием ИИ для поиска багов. В отрасли ожидают, что эта тенденция станет только заметнее в будущем.