CVE-2026-21510

Суть уязвимости

Уязвимость CVE-2026-21510 (гипотетическая/будущая уязвимость, основанная на предоставленном описании) представляет собой сбой механизма защиты в компоненте Microsoft Windows Shell.

Суть проблемы заключается в том, что оболочка Windows некорректно обрабатывает определенные атрибуты файлов или сетевые пути, что позволяет злоумышленнику обойти встроенные функции безопасности (например, Mark-of-the-Web (MotW), Windows SmartScreen или предупреждения системы безопасности при открытии файлов).

Для эксплуатации злоумышленнику обычно требуется убедить пользователя загрузить и открыть специально созданный файл (например, ярлык .lnk, архив или образ диска) или перейти по вредоносной ссылке. Из-за ошибки в Windows Shell система не помечает файл как загруженный из интернета (не вешает метку MotW) или игнорирует ее, что приводит к запуску вредоносного кода без предупреждения пользователя.

Как исправить

Основным и единственным надежным способом устранения уязвимостей в компонентах ядра и оболочки Windows является установка официальных обновлений безопасности от Microsoft.

1. Установите последние накопительные обновления безопасности (Cumulative Updates) через Центр обновления Windows, WSUS или SCCM.
2. Для ручной проверки и установки обновлений через PowerShell можно использовать модуль PSWindowsUpdate. Сначала установите модуль (если он не установлен):

Install-Module -Name PSWindowsUpdate -Force -SkipPublisherCheck

1. Затем запустите поиск и установку доступных обновлений:

Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временные меры

До момента установки официального патча необходимо применить компенсирующие меры (Workarounds), чтобы снизить риск эксплуатации уязвимости в корпоративной сети:

1. Блокировка потенциально опасных вложений на уровне почтового шлюза и прокси-сервера. Запретите скачивание и доставку файлов, которые часто используются для обхода MotW и эксплуатации Windows Shell: .iso, .vhd, .vhdx, .img, .lnk, .chm, .vbs, .js.

2. Запрет монтирования образов дисков (ISO/VHD). Так как образы дисков часто используются для скрытия файлов от проверки Mark-of-the-Web, рекомендуется отключить возможность их монтирования встроенными средствами Windows для обычных пользователей через реестр:

reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\Explorer" /v "DisableIsoVirtualDisk" /t REG_DWORD /d 1 /f

1. Принудительное включение и строгая политика Windows Defender SmartScreen. Убедитесь, что SmartScreen включен и настроен на блокировку (а не просто предупреждение) неопознанных приложений. Это можно сделать через групповые политики (GPO): Computer Configuration -> Administrative Templates -> Windows Components -> Windows Defender SmartScreen -> Explorer Установите параметр "Configure Windows Defender SmartScreen" в состояние "Enabled" и выберите "Block".

2. Усиление правил Attack Surface Reduction (ASR). Если используется Microsoft Defender for Endpoint, активируйте правила ASR, блокирующие запуск исполняемых файлов из скачанных архивов или образов. Включите правило "Block executable files from running unless they meet a prevalence, age, or trusted list criterion":

Add-MpPreference -AttackSurfaceReductionRules_Ids 01443614-cd74-433a-b99e-2ecdc07bfc25 -AttackSurfaceReductionRules_Actions Enable

1. Обучение пользователей. Проведите внеочередной инструктаж сотрудников о недопустимости открытия подозрительных файлов, скачанных из интернета, даже если система не выдает стандартных предупреждений безопасности.