CVE-2026-21513

Microsoft Windows

ВЕРОЯТНОСТЬ 8.0%
Дата обнаружения

2026-02-10

Официальное описание

Microsoft MSHTML Framework contains a protection mechanism failure vulnerability that could allow an unauthorized attacker to bypass a security feature over a network.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2026-21513 затрагивает компонент Microsoft MSHTML (движок Trident), который является базовым механизмом рендеринга HTML в ОС Windows. Несмотря на отказ от Internet Explorer, этот движок продолжает активно использоваться в Microsoft Office, режиме совместимости Edge и различных системных компонентах.

Суть проблемы заключается в сбое механизма защиты (Security Feature Bypass). При обработке специально созданного веб-контента или документа злоумышленник может обойти встроенные средства безопасности, такие как Mark-of-the-Web (MotW) или режим защищенного просмотра (Protected View). Это позволяет выполнить вредоносный код или скрипты без предупреждения пользователя, если жертва откроет зараженный файл (например, присланный по электронной почте) или перейдет по вредоносной ссылке.

Как исправить

Единственным надежным способом устранения уязвимости является установка официального обновления безопасности от Microsoft, выпущенного в рамках Patch Tuesday.

  • Определите номер KB (Knowledge Base), соответствующий вашей версии Windows и Windows Server, в официальном бюллетене Microsoft Security Response Center (MSRC).
  • Разверните обновление через WSUS, Microsoft Endpoint Configuration Manager (SCCM) или Intune.
  • Для критичных серверов и рабочих станций инициируйте внеочередную установку патча.
  • После установки обновления обязательно выполните перезагрузку системы.
  • Для проверки успешной установки конкретного патча (замените KBXXXXXXX на актуальный номер) используйте следующую команду:
Get-HotFix -Id KBXXXXXXX

Временные меры

Если оперативная установка патча невозможна, необходимо применить компенсирующие меры (Workarounds) для снижения поверхности атаки.

  • Отключите панель предварительного просмотра (Preview Pane) в проводнике Windows, так как она может автоматически рендерить вредоносные документы через MSHTML без их явного открытия пользователем.
  • Для отключения панели предварительного просмотра через реестр для текущего пользователя выполните:
Reg Add "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" /v ShowPreviewHandlers /t REG_DWORD /d 0 /f
  • Включите правило Attack Surface Reduction (ASR), блокирующее создание дочерних процессов приложениями Office. Это предотвратит запуск вредоносной нагрузки, если эксплойт сработает через документ Word или Excel:
Add-MpPreference -AttackSurfaceReductionRules_Ids D4F940AB-401B-4EFC-AADC-AD5F3C50688A -AttackSurfaceReductionRules_Actions Enable
  • Заблокируйте или строго ограничьте использование элементов управления ActiveX в Microsoft Office через групповые политики (GPO).
  • Проведите инструктаж пользователей о недопустимости открытия подозрительных вложений (особенно форматов .docx, .rtf, .hta), даже если система не выдает стандартных предупреждений безопасности.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей