Четырнадцатое апреля 2026 года вошло в журналы администраторов по всему миру как день по-настоящему плотной работы. Редмонд выкатил самый крупный за квартал пакет исправлений уязвимостей. Сто шестьдесят семь дыр закрыто разом, две из них относятся к категории zero-day, одна уже эксплуатируется в реальных атаках. Цифры по-настоящему выдающиеся. Это второй по объёму Patch Tuesday в истории компании, уступивший только октябрю 2025 года всего на десяток позиций.
Масштаб объясняется просто. Инструментарий поиска дефектов шагнул вперёд. Умные анализаторы кода находят больше слабых мест за меньшее время, а значит и поток исправлений растёт. Но вместе с этим растёт и цена промедления для тех, кто отложит обновление на потом.
Масштаб апрельского релиза и общая статистика категорий уязвимостей
Сводная таблица впечатляет даже тех, кто привык к подобным цифрам. Из ста шестидесяти семи закрытых дефектов восемь помечены как критические. Семь из этой восьмёрки относятся к удалённому выполнению кода, один к отказу в обслуживании. Более половины всех записей, если быть точным около пятидесяти семи процентов, это повышение привилегий локально. Раскрытие информации и удалённое выполнение кода держатся примерно на одинаковом уровне около двенадцати процентов каждая категория.
Для Windows-систем в этом месяце пришлось закрыть сто тридцать одну уязвимость. Это основной массив, разбросанный по версиям Windows 10, 11 и серверным редакциям. Для Windows 11 версий 25H2 и 24H2 выпущено накопительное обновление KB5083769. Для версии 23H2 предназначено KB5082052. Windows 10, которая в рамках программы расширенной поддержки продолжает получать патчи, закрывает дыры через KB5082200. Обновления устанавливаются автоматически, если пользователь не ставил паузу в Центре обновлений.
Отдельно за пределами самого вторничного пакета стоят восемьдесят уязвимостей в движке Chromium, закрытых Edge-патчами ранее в тот же месяц. Это ещё один рекорд, причём в индустрии его связывают с ростом возможностей автоматизированного анализа кода. Инструменты научились находить бреши быстрее людей, и статистика отчётов от этого заметно вздрагивает.
Первый zero-day в SharePoint и почему он требует немедленного внимания
Самой тревожной записью месяца стал идентификатор CVE-2026-32201. Это уязвимость подделки запросов в Microsoft SharePoint Server, уже используемая атакующими в дикой среде. Формально оценка по шкале CVSS составляет 6.5 из 10, что многие по привычке воспринимают как среднюю угрозу. Но эта оценка обманчива.
Суть проблемы в неправильной проверке входных данных. Злоумышленник, не проходящий аутентификацию, может отправлять специально сформированные сетевые запросы и заставлять сервер выдавать ответы, которым корпоративные пользователи привыкли доверять. На практике это означает возможность распространять ложную информацию в защищённой корпоративной среде. Можно просматривать часть чувствительных данных, можно менять опубликованные материалы, можно через поддельный контент развернуть цепочку фишинговых атак на сотрудников и партнёров.
Комбинируется такая слабость с другими атаками отвратительно легко. Фальшивая страница с корпоративной задачей в доверенном домене SharePoint. Подменённые инструкции для бухгалтерии. Ложные объявления якобы от руководства. Когда контент выглядит пришедшим из проверенного внутреннего источника, шансы человека заподозрить подвох резко падают. Атакующие уже пользуются этим, и каждый день между обнаружением и установкой патча становится окном, через которое просачивается реальный ущерб.
Патчи выпущены для SharePoint 2016, 2019 и Subscription Edition. Для SharePoint 2016 это особенно актуально, поскольку расширенная поддержка версии заканчивается в июле 2026 года. Администраторам рекомендуется ставить обновления без промедления и параллельно просматривать журналы на предмет подозрительного доступа и активности подделки.
Второй zero-day в Microsoft Defender и история его публичного раскрытия
Вторая помеченная zero-day запись носит идентификатор CVE-2026-33825. Это повышение привилегий в платформе защиты от вредоносного кода Microsoft Defender, получившее броское неофициальное имя BlueHammer. Оценка по CVSS составляет 7.8. Опасность в том, что локальный атакующий с невысокими правами может подняться до уровня SYSTEM, получая фактически полный контроль над машиной. Отключить защитные инструменты, поставить долгоиграющую закладку, собрать учётные данные, дальше двигаться по сети.
Интересная деталь касается предыстории патча. Исследователь, нашедший слабое место, сообщил о нём в Microsoft, но остался недоволен скоростью реакции. В результате демонстрационный эксплойт был опубликован в открытом доступе до того, как официальное исправление дошло до пользователей. С одной стороны, такая практика заставляет вендоров быстрее реагировать. С другой стороны, она кратно снижает порог входа для киберпреступников, которые раньше должны были самостоятельно писать эксплойт, а теперь получают готовый образец.
Установка идёт через автоматический механизм обновления платформы Antimalware Platform до версии 4.18.26050.3011. В большинстве корпоративных сред действие не требуется. Но админам стоит проверить, что политика автоматических обновлений не была отключена, особенно в изолированных сегментах сети.
Большой список критических проблем от сетевых сервисов до клиента RDP
Кроме двух zero-day, апрельский пакет содержит целый ряд серьёзных дефектов, каждый из которых заслуживает внимания. Ниже стоит выделить ключевые позиции, над которыми администраторам придётся работать в первую очередь:
- CVE-2026-33824 в расширениях Internet Key Exchange получила CVSS 9.8 и относится к критическим с удалённым выполнением кода без аутентификации через специально собранные пакеты при включённом IKE версии 2;
- CVE-2026-33827 в стеке TCP/IP считается потенциально червеобразной и требует срочного внимания на периметровых системах;
- CVE-2026-32157 в клиенте Remote Desktop представляет собой уязвимость use-after-free и срабатывает при подключении пользователя к вредоносному RDP-серверу;
- CVE-2026-33826 в Active Directory с CVSS 8.0 позволяет аутентифицированному атакующему выполнять код через специально сформированный RPC-вызов в пределах одного домена;
- CVE-2026-26151 представляет собой подделку Remote Desktop Protocol и требует лишь убедить пользователя открыть вредоносный файл конфигурации RDP;
- CVE-2026-23666 в .NET Framework является редким критическим отказом в обслуживании, способным остановить любое приложение на базе этой платформы удалённо и без аутентификации.
Отдельная важная деталь связана с файлами расширения RDP. Раньше пользователь открывал такой файл без каких-либо предупреждений, и если внутри был прописан вредоносный сервер, установка сеанса могла пройти по молчаливому сценарию. Начиная с апрельского обновления система показывает расширенный диалог с информацией о рисках, давая шанс заметить подозрительный источник. Мелочь, которая за пару лет атак на удалённые рабочие столы стала по-настоящему нужной.
Почему Office-уязвимости опасны даже без открытия документов
Отдельного разговора заслуживают свежие дыры в Microsoft Office. Сразу несколько идентификаторов, включая CVE-2026-32190, CVE-2026-33114 и CVE-2026-33115, позволяют выполнить код через вредоносные документы. Нюанс в том, что для срабатывания не требуется, чтобы пользователь открыл файл двойным щелчком. Достаточно, чтобы файл попал в область предварительного просмотра в Проводнике или почтовом клиенте. То есть сотрудник, просто получивший письмо и скроллящий вложения, уже рискует запустить атаку.
Для организаций, где люди постоянно разбирают поток входящей корреспонденции, это класс особо неприятных уязвимостей. Технически защищаться можно, отключая режимы предпросмотра и используя изолированные просмотрщики документов. Но на практике администраторам проще и надёжнее быстро ставить патчи, закрывающие корни проблемы.
Выводы для администраторов и пользователей домашних систем
Апрельский релиз показал несколько вещей сразу. Во-первых, объём находимых уязвимостей растёт. Автоматические анализаторы кода становятся умнее, и потоки отчётов превращаются в устойчивую волну. Во-вторых, время от обнаружения дефекта до его массовой эксплуатации сжимается. Традиционное окно в несколько недель, когда администраторам можно было не торопиться, сокращается до суток. В-третьих, привычные оценки вроде показателя CVSS перестают быть единственным ориентиром. Уязвимость с умеренной цифрой вполне может оказаться дороже критической, если злоумышленники уже научились её раскручивать в реальных кампаниях.
Простой домашний пользователь в большинстве случаев защищён автоматическим механизмом обновлений. Главное не ставить долгие паузы и не игнорировать запросы на перезагрузку. Владельцам корпоративных сред задача сложнее. SharePoint-серверы под ударом прямо сейчас, и тянуть с их обновлением опасно. RDP-клиенты, особенно используемые удалёнными сотрудниками, тоже стоят в приоритете. Office-компоненты на машинах с активной почтовой перепиской попадают в ту же группу высокого внимания.
Май обещает следующий патч уже двенадцатого числа, так что передышка у системных администраторов выйдет короткой. Но эта короткая пауза даёт редкую возможность навести порядок в политике обновлений, проверить покрытие инвентаря и отладить процесс быстрой накатки критичных исправлений. Тот, кто использует её с умом, встретит следующий вторник гораздо спокойнее.
Канал сайта в Telegram
Канал сайта на YouTube