Microsoft в апреле 2026 закрыл рекордные 167 уязвимостей и две zero-day, включая активно эксплуатируемую дыру в SharePoint

Корпорация Microsoft 14 апреля 2026 года выпустила один из самых масштабных Patch Tuesday в собственной истории. Цифра 167 устранённых уязвимостей звучит почти невероятно. Это второй по объёму ежемесячный набор обновлений за всё время существования программы. Внутри пакета скрываются две zero-day проблемы, восемь критических дыр, набор удалённого выполнения кода и сразу несколько бомб замедленного действия в корпоративных продуктах.

Среди исправлений выделяется уязвимость в SharePoint Server, которая уже использовалась в реальных атаках. Параллельно вскрылась проблема в Microsoft Defender, получившая запоминающееся прозвище BlueHammer от исследователей безопасности. Для администраторов и пользователей это означает, что апрельские обновления нельзя откладывать. Каждый день промедления увеличивает окно возможностей для злоумышленников, которые уже знают, как обходить защиту непропатченных систем.

CVE-2026-32201 в SharePoint Server превращает доверенную платформу в инструмент социальной инженерии

Главным героем апрельских заголовков стала уязвимость спуфинга в SharePoint Server с идентификатором CVE-2026-32201. Оценка CVSS 6.5 на первый взгляд кажется умеренной, но контекст радикально меняет картину. Рейтинг измеряет техническую сложность атаки, а не её бизнес-последствия. В случае с SharePoint последствия могут быть катастрофическими.

Суть проблемы кроется в неправильной валидации входных данных. Неавторизованный атакующий получает возможность подделывать содержимое или интерфейсы внутри среды, которой сотрудники компании привыкли доверять. Майк Уолтерс из Action1 объясняет реальный сценарий просто. Подобная уязвимость превращает SharePoint в идеальный плацдарм для фишинговых атак, манипуляций с данными и социально-инженерных кампаний, ведущих к более глубокой компрометации сети.

Представьте корпоративный портал, на котором сотни сотрудников ежедневно ищут служебные документы, политики безопасности и инструкции от руководства. Если злоумышленник может вставить туда поддельную страницу с указанием перевести средства на новый счёт или скачать "обновлённый" клиент VPN, фильтр критичности срабатывать не будет. Контент пришёл с привычного адреса. Цифровой знак доверия выдан собственной инфраструктурой компании.

Microsoft не раскрыла детали о том, кто именно эксплуатировал уязвимость и через какие векторы шла атака. Но факт активного использования в дикой природе не оставляет времени на размышления. Патчи доступны для всех поддерживаемых версий SharePoint, включая SharePoint 2016, у которого расширенная поддержка завершается 14 июля 2026 года. Тысячи предприятий по всему миру всё ещё держат локальные инсталляции этой платформы, и каждое такое развёртывание сегодня находится под прицелом.

BlueHammer в Microsoft Defender открывает путь к привилегиям SYSTEM на любой защищённой системе

Вторая zero-day, помеченная как CVE-2026-33825 с оценкой CVSS 7.8, ударила по самой инфраструктуре безопасности Windows. Уязвимость локального повышения привилегий в антивирусной платформе Microsoft Defender получила публичное раскрытие до выхода патча. Имя BlueHammer прижилось благодаря масштабу потенциальных последствий.

Локальный атакующий, имеющий доступ к системе с обычными правами пользователя, может через эту дыру повысить свои полномочия до уровня SYSTEM. А SYSTEM в архитектуре Windows является высшим уровнем доступа, превосходящим даже учётную запись администратора. Получив такие права, злоумышленник может отключить средства защиты, установить устойчивый к перезагрузкам зловред, собрать учётные данные из памяти и переместиться на другие машины внутри корпоративной сети.

Самое неприятное здесь не сам факт возможной эксплуатации, а контекст. Microsoft Defender установлен по умолчанию на каждой современной Windows-машине. Это не дополнительный продукт от стороннего вендора, который можно отключить или заменить. Это базовый компонент операционной системы. Дыра в нём открывает универсальный путь обхода защиты для любого, кто получил начальную точку опоры в системе.

Уязвимость обнаружили исследователи Зен Додд и Юаньпэй Сюй из совместной работы HUST с Diffract. Microsoft оперативно выпустила исправление в составе версии Microsoft Defender Antimalware Platform 4.18.26050.3011. Хорошая новость в том, что обновление антивирусной платформы устанавливается автоматически через стандартный канал доставки сигнатур и движков. Никаких действий от пользователя не требуется при условии, что система не отключила автообновления Defender.

Отдельные критические уязвимости в IKE, .NET, Office и Remote Desktop расширяют поверхность атаки

Помимо двух zero-day, апрельский набор содержит ряд опасных проблем, которые легко могут стать следующими целями злоумышленников:

1. Уязвимость CVE-2026-33824 в расширениях службы Windows Internet Key Exchange допускает удалённое выполнение кода без аутентификации через специально сформированные пакеты, что особенно опасно для VPN-инфраструктуры компаний;
2. Дыра CVE-2026-32157 в клиенте Remote Desktop представляет собой use-after-free проблему, эксплуатация которой возможна при подключении пользователя к вредоносному серверу;
3. Брешь CVE-2026-23666 в .NET-фреймворке открывает путь к сетевой атаке отказа в обслуживании;
4. Группа уязвимостей CVE-2026-32190, CVE-2026-33114 и CVE-2026-33115 в Microsoft Office позволяет выполнять код через панель предварительного просмотра, что превращает обычное письмо с прикреплённым документом в полноценное оружие;
5. Серия дыр в UEFI Secure Boot, ядре Windows, WinSock, BitLocker и Desktop Window Manager отнесена аналитиками к категории "вероятно эксплуатируемых" в ближайшем будущем.

Уязвимость в IKE заслуживает отдельного внимания. Адам Барнетт, ведущий инженер Rapid7, отметил парадокс ситуации. Безаутентификационное удалённое выполнение кода против современных систем Windows встречается редко, иначе интернет давно превратился бы в полигон для самораспространяющихся червей. Но IKE по своей природе обращён к недоверенным сетям, поскольку обеспечивает согласование защищённых туннелей VPN. Это делает его доступным для атакующих ещё до прохождения аутентификации. Превращение проблемы во всемирного червя маловероятно, однако сценарии получения первичного доступа через скомпрометированный IKE становятся реальной угрозой для корпоративных сетей.

Office-уязвимости представляют отдельный класс опасности. Триггер через панель предварительного просмотра означает, что жертве не нужно открывать вредоносный документ. Достаточно увидеть его в списке писем Outlook. Многие почтовые клиенты автоматически отображают превью содержимого, и уязвимый Office интерпретирует встроенные конструкции до того, как пользователь успевает что-либо щёлкнуть.

Кумулятивные обновления KB5083769 и KB5082052 закрыли проблемы Windows 11 и принесли улучшения RDP

Технический канал доставки заплаток для Windows 11 организован через знакомые большинству администраторов кумулятивные обновления. Для версий 25H2 и 24H2 апрельский набор поставляется как KB5083769. Версия 23H2 получает KB5082052. Windows 10 в фазе расширенной поддержки прикрыта обновлением KB5082200.

Эти обновления включают не только исправления безопасности, но и улучшения работы Remote Desktop Protocol. Проблема в RDP-клиенте, упомянутая выше под идентификатором CVE-2026-32157, стала одним из акцентов релиза. Учитывая массовую миграцию корпоративных рабочих процессов на удалённые подключения после пандемийных лет, надёжность RDP перестала быть нишевой темой системных администраторов и превратилась в вопрос непрерывности бизнеса.

Кроме того, апрельский цикл совпал с важной вехой по сертификатам Secure Boot. Старые цепочки доверия истекают 26 июня 2026 года. Microsoft использует текущие обновления для постепенного развёртывания новых конфигураций сертификатов и расширения отчётности через панели мониторинга безопасности. Организации получают возможность проверить готовность своей инфраструктуры к переходу за два месяца до критической даты.

На потребительских устройствах эти обновления устанавливаются автоматически, если только пользователь сознательно не приостановил Windows Update. Для корпоративных систем с ручным управлением патчами апрельский релиз требует включения в ближайший цикл развёртывания.

Тенденция 2026 года показывает рекордный темп выпуска уязвимостей и роль ИИ в их обнаружении

За четыре первых месяца 2026 года Microsoft закрыла суммарно 424 уязвимости. Февраль принёс шесть zero-day и 58 дыр. Март ограничился двумя zero-day и 79 проблемами. Апрель установил рекорд с 167 исправлениями. Динамика не выглядит случайной.

Аналитики связывают всплеск с активным внедрением искусственного интеллекта в процесс поиска уязвимостей. Адам Барнетт из Rapid7 высказал предположение, что нарастающий объём отчётов отражает расширение возможностей ИИ-систем для аудита кода. Ровно за неделю до апрельского Patch Tuesday индустрия обсуждала анонс Project Glasswing - незавершённой пока разработки от Anthropic, которая по слухам показывает выдающиеся результаты в выявлении багов в широком спектре программного обеспечения. Прямой связи между Project Glasswing и апрельским рекордом нет, но общая картина говорит сама за себя.

Только за один день в начале апреля было опубликовано более 60 заплаток для браузерных уязвимостей через цепочку Chromium. Разработчики и независимые исследователи получили инструменты, которые позволяют им находить проблемы быстрее, чем когда-либо. Соответственно растёт давление на вендоров с точки зрения скорости реакции.

Барнетт указывает на важное следствие этой тенденции. Раньше уязвимость с базовым CVSS 6.5 могла считаться относительно безопасной из-за сложности эксплуатации. Сегодня такая логика теряет силу. ИИ-инструменты в наступательной кибербезопасности предоставляют атакующим инструментарий, который ещё несколько лет назад был доступен только элитным исследовательским группам. Отказ от патчинга на основании "низкой вероятности эксплуатации" становится опасной защитной стратегией.

Что должны делать администраторы и пользователи прямо сейчас

Практические рекомендации сводятся к нескольким приоритетным действиям. SharePoint Server требует немедленного применения патчей, поскольку CVE-2026-32201 уже эксплуатируется. Системы с включённым Microsoft Defender получат исправление BlueHammer автоматически через канал обновления антивирусной платформы. Корпоративные сети с серверами VPN на базе IKE должны проверить установку апрельских обновлений как можно скорее.

Для рядовых пользователей домашних компьютеров правило простое. Не отключайте Windows Update и убедитесь, что обновления устанавливаются. Браузеры, особенно Chrome и Edge, требуют перезапуска для применения уже скачанных заплаток. Adobe Reader тоже выпустил аварийное обновление под активно эксплуатируемую CVE-2026-34621, его стоит установить наравне с системными патчами.

Организации, попадающие под действие директивы CISA Binding Operational Directive 22-01, должны ожидать включения CVE-2026-32201 в каталог KEV. Это автоматически устанавливает обязательный срок устранения уязвимости с правовыми последствиями за несоблюдение для государственных контракторов США.

Апрельский Patch Tuesday 2026 года стал не просто технической рутиной для системных администраторов. Он зафиксировал переломную точку, в которой темпы обнаружения и эксплуатации уязвимостей выходят на новый уровень. Привычные подходы к управлению патчами с месячными циклами начинают трещать по швам. Для критических систем разумной альтернативой становится непрерывный или хотя бы еженедельный цикл обновлений. Цена ошибки за прошедшие месяцы существенно выросла, и каждое следующее окно уязвимости стоит дороже, чем предыдущее.