CVE-2026-20841: Выполнение произвольного кода в Блокноте Windows
В этом отчете подробно описывается уязвимость внедрения команд в Microsoft Windows Notepad (CVE-2026-20841). Уязвимость возникает из-за неправильной проверки ссылок в отображаемых файлах Markdown. Эксплуатация предполагает побуждение пользователя открыть специально созданный вредоносный файл Markdown, содержащий вредоносную ссылку. Когда пользователь нажимает на ссылку, произвольные команды могут выполняться в контексте безопасности учетной записи жертвы. Приложение Notepad токенизирует ввод и отображает файлы Markdown, если расширение файла — ".md". Уязвимость существует в функции обработки кликов по ссылкам, sub_140170F60(), которая вызывает ShellExecuteExW(). Недостаточная фильтрация позволяет злоумышленникам использовать URI протоколов "file://" и "ms-appinstaller://". Уязвимость была устранена Microsoft в феврале 2026 года. Отчет включает в себя руководство по обнаружению для выявления потенциальных попыток эксплуатации. Руководство предполагает мониторинг трафика на наличие вредоносных ссылок в файлах ".md" с использованием определенных регулярных выражений. Предоставленный патч ограничивает ссылки локальными файлами и URI HTTP(S), что потенциально может привести к ложным срабатываниям. В отчете делается вывод о том, что для эксплуатации требуется взаимодействие с пользователем, и рекомендуется установка патча для устранения уязвимости. Исследование было проведено Николаем Скляренко и Яжи Ван из TrendAI.
sub_140170F60(), которая вызываетShellExecuteExW(). Недостаточная фильтрация позволяет злоумышленникам использовать URI протоколов "file://" и "ms-appinstaller://". Уязвимость была устранена Microsoft в феврале 2026 года. Отчет включает в себя руководство по обнаружению для выявления потенциальных попыток эксплуатации. Руководство предполагает мониторинг трафика на наличие вредоносных ссылок в файлах ".md" с использованием определенных регулярных выражений. Предоставленный патч ограничивает ссылки локальными файлами и URI HTTP(S), что потенциально может привести к ложным срабатываниям. В отчете делается вывод о том, что для эксплуатации требуется взаимодействие с пользователем, и рекомендуется установка патча для устранения уязвимости. Исследование было проведено Николаем Скляренко и Яжи Ван из TrendAI.