Positive Technologies помогла устранить уязвимость в серверных Windows, угрожавшую предприятиям

Microsoft выпустила патч для уязвимости нулевого дня, выявленной экспертом PT SWARM Сергеем Близнюком в серверных редакциях операционных систем Windows. Ее применение теоретически давало атакующему возможность выполнить произвольный код на серверах телефонии и горизонтально перемещаться в инфраструктуре, чтобы, закрепившись в ней, проводить полномасштабные сложные кибератаки. Дефект безопасности представлял угрозу для организаций, позволяя потенциальному злоумышленнику из корпоративной сети развить нападение на внутренние ресурсы и IT-системы, похитить из них конфиденциальные данные и нарушить бизнес-процессы.

Настольные редакции Windows предназначены для персональных компьютеров, рабочих станций, планшетов и ноутбуков. Серверные варианты ОС созданы для работы различных сервисов и приложений в фоновом режиме. Например, на их основе функционируют файловые хранилища, базы данных, виртуальные машины, служба каталогов Active Directory и программы удаленного доступа. Общая доля серверных и пользовательских Windows в инфраструктуре российских компаний до сих пор может достигать 99%, а государственных — 50%.

Уязвимости PT-2026-2734[1] (CVE-2026-20931) в службе телефонии TapiSrv присвоен высокий уровень опасности (8,0 балла по шкале CVSS 3.1). Сервис предустановлен в обоих семействах ОС, посредством него приложения взаимодействуют с телефонными системами (стационарными телефонами, модемами, VoIP[2]-системами). Недостаток безопасности затронул 35 ОС[3], среди которых как современные (Windows Server 2025, Server 2022, Server 2019), так и более ранние версии (Windows Server 2008, Server 2012). Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и уже опубликовал исправления. Компаниям, не имеющим возможности установить патчи, эксперт Positive Technologies рекомендует незамедлительно отключить серверный режим, если уязвимый сервис не используется для реальной коммуникации.

Чтобы успешно проэксплуатировать недостаток безопасности, потенциальному атакующему потребовалось бы предварительно завладеть доменной учетной записью с низкими привилегиями (достаточно было бы скомпрометировать логин и пароль любого сотрудника компании) и получить первоначальный доступ в локальную сеть предприятия. Для технической реализуемости атаки также было бы необходимо, чтобы в организации непропатченная служба телефонии была запущена в режиме сервера.

Активированная служба TapiSrv встречается исключительно в корпоративных сетях. Домашним устройствам, даже если пользователь увидит в списке своих программ этот сервис, ничего не угрожает, подчеркивает исследователь Positive Technologies. Более того, серверный режим сегодня применяется крайне редко: несмотря на то что опубликованный вендором перечень операционных систем с уязвимой службой простирается от Windows Server 2008 до 2025, после установки ОС служба находится в выключенном состоянии и требует дополнительной настройки администратором.

«Компании, в которых служба используется в небезопасной конфигурации, вероятнее всего, станут легкой мишенью для взлома, если не успеют быстро обновить ПО в соответствии с рекомендациями Microsoft или принять компенсирующие меры. Сбой в работе телефонии — самый безболезненный инцидент из возможных, — поясняет Сергей Близнюк, старший специалист отдела тестирования на проникновение, Positive Technologies, — В случае успеха злоумышленники способны нанести предприятиям серьезный финансовый и репутационный урон. До устранения уязвимости позволяла злоумышленникам закрепиться и горизонтально перемещаться в серверном сегменте внутренней сети организации. На следующем этапе атакующий мог бы повысить привилегии в корпоративном домене до максимальных, а в дальнейшем, например, зашифровать или безвозвратно удалить критически значимую информацию, похитить персональные данные сотрудников, клиентов или же сведения, содержащие коммерческую тайну, — то есть любую ценную для компании информацию, которую она хранит в цифровом виде».

Исследователи Positive Technologies регулярно обнаруживают недостатки безопасности в решениях Microsoft и помогают их устранять. Сотрудничество с вендором длится с 2012 года: за это время совместно исправлены 12 пробелов в защите.

Для обнаружения атак, в ходе которых злоумышленники могли бы воспользоваться подобными дефектами безопасности, эффективно применение систем управления уязвимостями, например MaxPatrol VM. Продвинутые продукты классов NTA/NDR, например PT Network Attack Discovery, детектируют попытки эксплуатации данной уязвимости, а продукты класса NGFW, такие как PT NGFW, еще и блокируют ее. Обнаружить последующее развитие атаки в результате эксплуатации данной уязвимости помогут MaxPatrol SIEM и решения класса EDR, например MaxPatrol EDR. Обнаружив вредоносную активность, продукт отправляет уведомление в MaxPatrol SIEM и не дает злоумышленнику продолжить атаку.