Wysokie i krytyczne podatności w Microsoft
Microsoft opublikował obszerny zestaw nowych podatności zidentyfikowanych w swoich produktach. Wykryte luki obejmują szerokie spektrum zagrożeń, w tym możliwość zdalnego wykonania kodu, spoofingu, odmowy usługi, ujawnienia informacji, podniesienia uprawnień oraz ominięcia mechanizmów bezpieczeństwa. Ze względu na skalę oraz potencjalny wpływ podatności na środowiska produkcyjne, rekomendujemy niezwłoczne zapoznanie się z opisanymi ryzykami oraz wdrożenie działań korygujących przedstawionych w sekcji „Działania zapobiegawcze”.
Podatności Microsoft wykryte i opublikowane w lutowym Patch Tuesday
Podatne systemy:
- .NET
- .NET and Visual Studio
- Azure Arc
- Azure Compute Gallery
- Azure DevOps Server
- Azure Front Door (AFD)
- Azure Function
- Azure HDInsights
- Azure IoT SDK
- Azure Local
- Azure SDK
- Desktop Window Manager
- Github Copilot
- GitHub Copilot and Visual Studio
- Internet Explorer
- Mailslot File System
- Microsoft Defender for Linux
- Microsoft Edge for Android
- Microsoft Exchange Server
- Microsoft Graphics Component
- Microsoft Office Excel
- Microsoft Office Outlook
- Microsoft Office Word
- Power BI
- Role: Windows Hyper-V
- Windows Ancillary Function Driver for WinSock
- Windows App for Mac
- Windows Cluster Client Failover
- Windows Connected Devices Platform Service
- Windows GDI+
- Windows HTTP.sys
- Windows Kernel
- Windows LDAP - Lightweight Directory Access Protocol
- Windows Notepad App
- Windows NTLM
- Windows Remote Access Connection Manager
- Windows Remote Desktop
- Windows Shell
- Windows Storage
- Windows Subsystem for Linux
- Windows Win32K - GRFX
Ważniejsze podatności CVE
Krytyczne luki bezpieczeństwa związane są z produktem Microsoft Azure. Luki te nie wymagają ingerencji użytkownika, a poprawki bezpieczeństwa są wdrażane automatycznie.
CVE-2026-21510 Windows Shell Security Feature Bypass Vulnerability
Score: 8,8 High
Opis podatności
Luka w umożliwiająca obejście funkcji zabezpieczeń powłoki systemu Windows. Wg Microsoftu została ujawniona publicznie przed udostępnieniem poprawki i była również wykorzystywana w praktyce jako luka typu zero-day. W celu wykorzystania podatności, atakujący musi nakłonić użytkownika do otwarcia złośliwego łącza lub skrótu pliku. Pozwoli to atakującemu na ominięcie ostrzeżeń Windows SmartScreen i powłoki systemu Windows.
Podatne systemy
- Wersje serwerowe od Windows Server 2012 do Windows Server 2025
- Wersje klienckie Windows 10 i 11
Działania zapobiegawcze
Zastosuj oficjalną poprawkę firmy Microsoft zgodnie z rekomendacją producenta.
CVE-2026-21533 Windows Remote Desktop Services Elevation of Privilege Vulnerability
Score: 7,8 High
Opis podatności
Luka w zabezpieczeniach usługi zdalnego pulpitu systemu Windows umożliwiająca podniesienie uprawnień.
Podatne systemy
- Wersje serwerowe od Windows Server 2012 do Windows Server 2025
- Wersje klienckie Windows 10 i 11
Działania zapobiegawcze
Zastosuj oficjalną poprawkę firmy Microsoft zgodnie z rekomendacją producenta.
Podatność CVE-2026-21519 Desktop Window Manager Elevation of Privilege Vulnerability
Score: 7,8 High
Opis podatności
Luka w zabezpieczeniach menedżera okien pulpitu umożliwiająca podniesienie uprawnień. Lokalny, uwierzytelniony atakujący może wykorzystać tę lukę, aby uzyskać uprawnienia SYSTEM. Wg Microsoftu luka ta została wykorzystana w środowisku naturalnym jako luka typu zero-day.
Podatne systemy
- Wersje serwerowe od Windows Server 2016 do Windows Server 2025
- Wersje klienckie Windows 10 i 11
Działania zapobiegawcze
Zastosuj oficjalną poprawkę firmy Microsoft zgodnie z rekomendacją producenta.
Podatność CVE-2026-21513 MSHTML Framework Security Feature Bypass Vulnerability
Score: 8,8 High
Opis podatności
Luka w zabezpieczeniach umożliwiająca obejście funkcji bezpieczeństwa MSHTML Framework. Wg. Microsoftu podatność ta została wykorzystana w praktyce i publicznie ujawniona przed udostępnieniem poprawki. Aby ją wykorzystać, atakujący musi przekonać potencjalną ofiarę do otwarcia złośliwego pliku HTML lub pliku skrótu (.lnk).
Podatne systemy
- Wersje serwerowe od Windows Server 2012 do Windows Server 2025
- Wersje klienckie Windows 10 i 11
Działania zapobiegawcze
Zastosuj oficjalną poprawkę firmy Microsoft zgodnie z rekomendacją producenta.
Podatność CVE-2026-21514 Microsoft Word Security Feature Bypass Vulnerability
Score: 7,8 High
Opis podatności
Luka w zabezpieczeniach programu Microsoft Word umożliwiająca obejście funkcji zabezpieczeń. Podatność została ujawniona publicznie przed udostępnieniem poprawki i była wykorzystywana w praktyce jako luka typu zero-day.
Podatne systemy
- Microsoft Office LTSC 2021, 2024
- Microsoft Office LTSC for Mac 2021, 2024
- Microsoft 365 Apps for Enterprise
Działania zapobiegawcze
Zastosuj oficjalną poprawkę firmy Microsoft zgodnie z rekomendacją producenta.
Podatność CVE-2026-21511 Microsoft Outlook Spoofing Vulnerability
Score: 7,5 High
Opis podatności
Luka w zabezpieczeniach programu Microsoft Outlook umożliwiająca podszywanie się pod inne programy. Podatność jest wynikiem błędu deserializacji niezaufanych danych, który atakujący może wywołać za pomocą spreparowanej wiadomości e-mail.
Podatne systemy
- Microsoft Office 2019
- Microsoft SharePoint Server 2019
- Microsoft SharePoint Enterprise Server 2016
- Microsoft SharePoint Server Subscription Edition
- Microsoft Word 2016
- Microsoft Office LTSC 2021, 2024
- Microsoft Office LTSC for Mac 2021, 2024
- Microsoft 365 Apps for Enterprise
Działania zapobiegawcze
Zastosuj oficjalną poprawkę firmy Microsoft zgodnie z rekomendacją producenta.
Podatność CVE-2026-21525 Windows Remote Access Connection Manager Denial of Service Vulnerability
Score: 6,2 Medium
Opis podatności
Luka w zabezpieczeniach Menedżera połączeń usługi Windows Remote Access, która umożliwia atak typu Denial of Service „odmowa usługi”.
Podatne systemy
- Wersje serwerowe od Windows Server 2012 do Windows Server 2025
- Wersje klienckie Windows 10 i 11
Działania zapobiegawcze
Zastosuj oficjalną poprawkę firmy Microsoft zgodnie z rekomendacją producenta.