Новости · Безопасность файлов

Microsoft закрыла уязвимость в Windows: открытый ISO-образ мог отдать компьютер атакующему

В июльском наборе обновлений Microsoft устранила опасный дефект в системном компоненте, который отвечает за чтение образов дисков. Из-за него достаточно было открыть подготовленный ISO-файл или UDF-диск — и вредоносный код мог получить в системе максимальные права. Атака не требовала ни прав администратора, ни запуска отдельной программы.

16 июля 2026 Редакция LoadFile Чтение 5 мин
Расколотый оптический диск с красной трещиной за защитным щитом — уязвимость драйвера образов дисков Windows

Коротко: 14 июля 2026 в рамках рекордного Patch Tuesday Microsoft закрыла уязвимость повышения привилегий в драйвере Universal Disk Format (UDFS). Специально искажённый UDF-том — например, вредоносный ISO-образ или оптический диск — при обработке Windows мог повредить память и выполнить код с правами SYSTEM. Оценка серьёзности — 7,8 по CVSS. Признаков атак в дикой природе на момент выхода патча не зафиксировано. Решение одно: установить июльские обновления.

Что произошло

14 июля 2026 года Microsoft выпустила очередной набор обновлений безопасности — Patch Tuesday, который стал крупнейшим за всю историю: по подсчётам Tenable, компания закрыла около 570 уязвимостей, включая три 0-day (в Active Directory Federation Services, SharePoint и BitLocker). Большинство исправлений остались в тени этих громких дыр, но одно из них напрямую касается работы с файлами — уязвимость в драйвере Universal Disk Format File System (UDFS).

UDFS — это компонент Windows, который умеет читать файловую систему UDF: именно в ней записаны большинство образов оптических дисков и часть файлов .iso. Драйвер срабатывает, когда система монтирует такой образ или обращается к диску. По классификации это уязвимость повышения привилегий (elevation of privilege): она позволяет коду, уже запущенному на машине, подняться до системного уровня. По данным профильных изданий, дефекту присвоена оценка 7,8 по шкале CVSS 3.1 (уровень «важно»).

В чём суть уязвимости UDFS

Корень проблемы — в том, как драйвер разбирает структуру UDF-тома. По имеющимся описаниям, ошибка сводится к чтению за пределами выделенного буфера (out-of-bounds read) и целочисленному переполнению «вниз» (integer underflow). Если подсунуть системе специально искажённый образ, разбор его метаданных приводит к повреждению памяти ядра — а это потенциальная почва для выполнения произвольного кода.

Ключевая деталь: спусковым крючком служит само обращение к тому. Пользователю не нужно запускать никакой файл из образа и подтверждать права администратора — достаточно, что Windows начнёт читать вредоносный UDF-том. Открыть его можно двойным кликом по ISO-образу (в свежих версиях Windows он монтируется как виртуальный диск) или вставив подготовленный оптический носитель.

!
Почему это важно для обычного пользователя

Образ диска легко принять за безобидный файл: ISO часто присылают под видом дистрибутива, игры или сборника документов. Именно поэтому образы — удобный «конверт» для доставки эксплойтов. Уязвимость такого класса превращает простое открытие файла в точку входа для захвата всей системы.

На момент выхода патча Microsoft не сообщала о признаках публичного раскрытия или эксплуатации этой конкретной уязвимости в реальных атаках. Но специалисты отмечают: локальное повышение привилегий до SYSTEM — ровно тот тип бага, который быстро берут на вооружение операторы шифровальщиков, поэтому откладывать обновление не стоит.

Кого это затрагивает

Драйвер UDFS входит во все поддерживаемые редакции Windows, поэтому под уязвимость попадали как минимум:

  • Клиентские системы — Windows 10 и Windows 11 актуальных сборок, включая домашние ПК и рабочие станции.
  • Серверные версии — Windows Server различных выпусков, в том числе установки в режиме Server Core.

Microsoft ведёт учёт дефектов драйвера UDFS в каталоге обновлений под несколькими идентификаторами (в их числе — CVE-2026-40404 и CVE-2026-40409 с формулировкой «Windows Universal Disk Format File System Driver (UDFS) Elevation of Privilege Vulnerability»); в отраслевых обзорах июльская уязвимость, связанная с обработкой ISO-образа, фигурирует как CVE-2026-50498. Точную привязку исправления к конкретной сборке всегда стоит сверять в официальном руководстве по обновлениям.

Что это значит для работы с файлами

История с UDFS — наглядное напоминание: опасность несёт не только запущенная программа, но и сам факт того, что система читает содержимое файла. Образ диска — это, по сути, целая файловая система в одном файле, и её разбор ложится на низкоуровневый код операционной системы. Ошибка в таком коде превращает безобидное с виду действие — «просто открыл ISO» — в вектор атаки.

Отсюда практический вывод: относитесь к образам дисков из недоверенных источников так же осторожно, как к исполняемым файлам. Если хотите разобраться, что вообще представляет собой этот формат и чем его безопасно открыть, у нас есть подробный разбор — чем открыть файл ISO. А базовые правила гигиены при работе с загрузками собраны в разделе безопасность файлов.

Это не первый случай, когда образ диска используют как «конверт» для вредоносного содержимого: ранее мы разбирали кампанию с рассылкой ISO- и LNK-вложений, где сам формат образа помогал обходить защитные механизмы.

Что делать прямо сейчас

  1. Установите июльские обновления Windows. Откройте «Параметры» → «Центр обновления Windows» и нажмите «Проверить наличие обновлений». Это единственный полноценный способ закрыть уязвимость.
  2. Не открывайте образы дисков (.iso, .img, .udf) из писем, мессенджеров и с непроверенных сайтов. Присланный образ вызывает сомнения — предварительно проверьте файл на вирусы.
  3. Скачивайте дистрибутивы и образы только с официальных сайтов разработчиков, а не со случайных «зеркал» — это классический канал подмены.
  4. В организациях — раскатайте обновление на серверы и рабочие станции централизованно и убедитесь, что затронуты в том числе установки Server Core.

Обновление бесплатно и не меняет привычную работу с системой. По сути это тихая, но важная заплатка: она закрывает возможность превратить обычный образ диска в инструмент захвата компьютера.

Источники

Читайте также