Аналитики R-Vision представили очередной ежемесячный дайджест трендовых уязвимостей, зафиксированных в апреле 2026 года. В обзор вошли наиболее критичные проблемы безопасности с высоким уровнем риска, подтверждённые эксплуатацией и повышенным интересом со стороны злоумышленников. Подборка охватывает уязвимости в продуктах Adobe, TrueConf, Microsoft.
CVE-2026-34621 | BDU:2026-04929: Уязвимость выполнения произвольного кода в Adobe Acrobat и Reader
CVSS: 8.6 | Вектор атаки: локальный
Уязвимость связана с неконтролируемым изменением атрибутов прототипа объекта, что может привести к ACE/RCE и побегу из песочницы Adobe.
Для эксплуатации нарушителю необходимо взаимодействие с пользователем. На клиенте должна быть включена настройка выполнения JavaScript-кода (включена по умолчанию). Злоумышленник создаёт специально сформированный PDF-файл через порчу Object.prototype: модификация и добавление свойств trusted или privileged. Это позволяет обойти механизмы защиты в JavaScript-движке Adobe. Нарушитель получает возможность использования ограниченных API: util.readFileIntoStream(), app.launchURL(), app.trustedFunction().
Например, пользователь открывает PDF-файл с помощью Adobe Reader. После открытия файла устанавливается соединение с удалённым сервером, откуда загружается обфусцированная полезная нагрузка, выполняемая через eval().
Статус эксплуатации уязвимости: БДУ ФСТЭК в информации от 10.04.2026 сообщает об использовании уязвимости в атаках. 11.04.2026 Adobe подтвердила наличие эксплуатации в дикой природе. CISA добавила уязвимость в KEV 13.04.2026, рекомендовав исправить её до 27.04.2026. В публичном доступе есть PoC. Исследователь Александр Агиар из ThreatLocker подготовил индикаторы компрометации.
Рекомендации по устранению: В настройках Adobe необходимо отключить выполнение JavaScript, ограничить сетевой доступ из внешних сетей и запретить открытие файлов из недоверенных источников. Для Acrobat DC, Acrobat Reader DC, Acrobat 2024 10.04.2026 выпущены исправления.
CVE-2026-3502 | BDU:2026-04546: Уязвимость удалённого выполнения кода в механизме обновления TrueConf Client (Windows) CVSS: 7.8 | Вектор атаки: смежная сеть TrueConf Client загружает и применяет пакеты обновлений без проверки их целостности и подлинности. Клиент доверяет файлу, полученному по URL с сервера, и не выполняет достаточной валидации перед установкой. Эксплуатация возможна при компрометации сервера обновлений TrueConf в смежной сети: атакующий, контролирующий сервер или способный подменить пакет обновления, может распространить вредоносный исполняемый файл вместе с легитимным обновлением. Статус эксплуатации уязвимости: БДУ ФСТЭК и Check Point Research сообщают об эксплуатации CVE-2026-3502. В рамках кампании TrueChaos против государственных организаций Юго-Восточной Азии злоумышленники использовали механизм обновления TrueConf для доставки вредоноса Havoc на уязвимые хосты.
В каталог KEV уязвимость была добавлена 02.04.2026, для федеральных агентств США установлен срок исправления до 16.04.2026.
Возможные негативные сценарии: Выполнение произвольного кода, кража конфиденциальных данных, полная компрометация системы. Рекомендации по устранению:

Обновить TrueConf Client for Windows до версии 8.5.3 или выше.
Ограничить доступ к серверу TrueConf и контуру распространения обновлений.

CVE-2026-33825 | BDU:2026-05271: Уязвимость повышения привилегий в Microsoft Defender CVSS: 7.8 | Вектор атаки: локальный Уязвимость повышения привилегий затрагивает Microsoft Defender Antivirus во всех поддерживаемых версиях Windows 10/11/Server.
При детектировании вредоносного файла Defender создаёт VSS-снапшот и выполняет файловые операции в контексте SYSTEM. Используя oplock и поддельный Cloud Files sync-провайдер, атакующий приостанавливает сканирование в критический момент, пока снапшот открыт. Путь к файлу подменяется на базу SAM внутри замороженного снапшота: Defender считывает SAM как файл обновления сигнатур и записывает результат в свой каталог.
Злоумышленник получает копию куста SAM, извлекает NT-хеши локальных учётных записей и повышает привилегии до SYSTEM. Уязвимость раскрыта исследователем Nightmare-Eclipse 02.04.2026 (PoC опубликован на GitHub 03.04.2026) вместе с двумя дополнительными эксплойтами:

RedSun (16 апреля) – oplock-based TOCTOU-атака на COM-объект Storage Tiers Management Engine с перезаписью TieringEngineService.exe в C:WindowsSystem32.
UnDefend (12 апреля) – нейтрализация сигнатурной базы Defender через эксклюзивную блокировку файлов определений.

На момент анализа недостатки RedSun и UnDefend остаются без исправления. Статус эксплуатации уязвимости:
Исследователи Huntress зафиксировали эксплуатацию в дикой природе в апреле 2026. Первоначальный доступ осуществлялся через SSL VPN на FortiGate, с использованием скомпрометированных аккаунтов из Сингапура, Швейцарии и других стран.
Злоумышленник разворачивал BlueHammer, RedSun, UnDefend и Go-агент BeigeBurrow на staybud.dpdns[.]org:443. В наблюдаемом инциденте LPE не сработала, Defender задетектил FunnyApp.exe как Exploit:Win32/DfndrPEBluHmr.BZ.
CISA добавила уязвимость в каталог KEV с требованием исправления до 06.05.2026. Рекомендации по устранению:
14.04.2026 вендор выпустил обновление безопасности, рекомендуется установить его на все затронутые версии Windows.
Для RedSun и UnDefend без патча, рекомендуется принять компенсирующие меры:

AppLocker/WDAC на исполнение из Pictures/Downloads/%TEMP%.
Мониторинг oplock-активности у MsMpEng.exe.
Детект NTFS junction/mount point в пользовательских каталога.
Аудит регистрации Cloud Files sync root.

CVE-2026-32201 | BDU:2026-05272: Уязвимость подделки данных в Microsoft SharePoint Server
CVSS: 6.5 | Вектор атаки: сетевой Уязвимость в Microsoft SharePoint связана с недостаточной проверкой входных данных, что позволяет атакующему удалённо осуществлять спуфинг без аутентификации. По информации Microsoft, это даёт доступ к конфиденциальной информации и возможность ограниченного изменения данных. Исследователи Foresiet уточняют, что проблема возникает при обработке параметров в HTTP-запросах, отвечающие за отображение ресурсов SharePoint (страницы, списки, документы). Злоумышленник может передавать некорректные данные, обходящие проверки подлинности контента, и формировать поддельные ответы от имени доверенных компонентов. Это позволяет просматривать чувствительные метаданные или изменять отображаемый контент для последующих фишинговых атак. Статус эксплуатации уязвимости: CISA 14.04.2026 добавила уязвимость в каталог KEV со сроком исправления до 28.04.2026. По данным ShadowServer, на конец апреля в открытом доступе находятся около 1134 потенциально уязвимых серверов SharePoint.
Как защититься?
В приоритете – своевременное выявление и обновление уязвимых систем. Вендоры уже выпустили обновления безопасности, и их применение – первоочередная мера защиты.
Однако в условиях многосистемной корпоративной ИТ-инфраструктуры и десятков и тысяч устройств, оперативное выявление и устранение уязвимостей требует автоматизации. По результатам одного из наших исследований, все больше компаний стремятся использовать современные решения класса Vulnerability Management, например, R-Vision VM, которые позволяют не только находить уязвимости (включая те, которые активно эксплуатируются), но и учитывать контекст инфраструктуры, корректно приоритизировать их и контролировать устранение.
Процесс будет проще и быстрее, когда в такую систему встроен собственный сканер уязвимостей: не требуется интеграция с внешними решениями, данные о найденных уязвимостях сразу доступны в едином интерфейсе, а повторные проверки запускаются без дополнительных шагов.
Такой подход помогает не только своевременно реагировать на угрозы, но и выстраивать устойчивую, системную работу с уязвимостями, что становится все более актуальным на фоне регулярного появления новых критичных уязвимостей.