Эксплойты и уязвимости в первом квартале 2026 года

В первом квартале 2026 года набор эксплойтов, который используют злоумышленники для атак на системы пользователей, снова пополнился эксплойтами для платформы Microsoft Office, операционных систем Windows и Linux.

В этом отчете мы рассмотрим статистику по опубликованным уязвимостям и эксплойтам, а также известные уязвимости, использованные с популярными С2-фреймворками за первый квартал 2026 года.

Статистика по зарегистрированным уязвимостям

Этот раздел содержит статистику по зарегистрированным уязвимостям. Данные взяты с портала cve.org.

Рассмотрим количество зарегистрированных CVE за каждый месяц начиная с января 2022 года. Общее число уязвимостей продолжает увеличиваться, и, если верить новостям, использование ИИ-агентов для обнаружения проблем безопасности будет также подкреплять тенденцию роста.

Общее количество опубликованных уязвимостей за каждый месяц с 2022 по 2026 год (скачать)

Теперь изучим количество новых критических уязвимостей (CVSS > 8,9) за тот же период.

Общее количество опубликованных критических уязвимостей за каждый месяц с 2022 по 2026 год (скачать)

На графике видно, что количество критических уязвимостей несколько снизилось относительно прошлых лет. Тем не менее отчетливо заметно, что в рамках первого квартала 2026 года их число растет от месяца к месяцу. На данный момент мы связываем это с тем, что в конце прошлого года был опубликован ряд серьезных уязвимостей для веб-фреймворков. В частности, сейчас рост числа уязвимостей происходит на фоне таких громких инцидентов, как React2Shell, открытие фреймворков эксплуатации уязвимостей на мобильных платформах, а также ввиду выявления новых проблем в процессе исправления уже обнаруженных. Эту гипотезу мы сможем проверить в следующем квартале: если она верна, второй квартал продемонстрирует существенное падение, как было, например, в предыдущем году.

Статистика по эксплуатации уязвимостей

Раздел содержит статистику по использованию эксплойтов за первый квартал 2026 года. Данные получены на основании открытых источников и нашей телеметрии.

Эксплуатация уязвимостей в Windows и Linux

В первом квартале 2026 года в арсенале злоумышленников появились эксплойты для новых, недавно зарегистрированных уязвимостей. Но сначала рассмотрим список «заслуженных» уязвимостей, которые постоянно составляют наибольшую долю по количеству обнаружений:

• CVE-2018-0802 — уязвимость удаленного выполнения кода в компоненте Equation Editor;
• CVE-2017-11882 — еще одна уязвимость удаленного выполнения кода, также затрагивающая Equation Editor;
• CVE-2017-0199 — уязвимость в Microsoft Office и WordPad, позволяющая атакующему захватить контроль над системой;
• CVE-2023-38831 — уязвимость, которая заключается в некорректной обработке объектов, содержащихся в архиве;
• CVE-2025-6218 — уязвимость, которая позволяет указать относительный путь и произвести распаковку файлов в произвольную директорию, что может привести к выполнению вредоносных команд;
• CVE-2025-8088 — уязвимость обхода контроля директории, в которую распаковываются файлы, при помощи механизма NTFS Streams.

А среди «новинок» мы фиксируем эксплойты для платформы Microsoft Office и компонентов ОС Windows. Отметим, что новые уязвимости эксплуатируют логические недостатки, которые появляются при взаимодействии нескольких систем, из-за чего их технически достаточно сложно локализовать в конкретном файле или библиотеке. Список таких уязвимостей представлен ниже:

• CVE-2026-21509 и CVE-2026-21514 — уязвимости обхода механизмов защиты: даже несмотря на включенный защищенный режим, специально подготовленный файл все равно может запустить вредоносный код без ведома пользователя. Вредоносные команды в системе жертвы будут запускаться с привилегиями пользователя, который открыл файл.
• CVE-2026-21513 — уязвимость движка Internet Explorer MSHTML, который позволяет открывать веб-ресурсы и рендерить HTML-разметку. Уязвимость заключается в обходе правил проставления запрета на запуск файлов из недоверенных сетевых источников. Любопытно, что поставщиком данных для уязвимости выступал файл .lnk.

Эти три уязвимости использовались совместно в одной цепочке в атаках на пользовательские Windows-системы. Хотя эта связка выглядит достаточно интересно, мы полагаем, что массовая применяемость всей цепочки как единого целого, скорее всего, пойдет на спад ввиду ее нестабильной работы. Полагаем, что эти уязвимости в дальнейшем будут применяться по отдельности как первоначальные векторы проникновения в систему через фишинговые атаки.

Ниже представлена динамика детектирования эксплойтов в системах пользователей Windows начиная с первого квартала 2025 года.

Динамика числа пользователей Windows, столкнувшихся с эксплойтами, Q1 2025–Q1 2026. За 100% принято число пользователей, столкнувшихся с эксплойтами в Q1 2025 (скачать)

Перечисленные уязвимости могут быть использованы для получения первоначального доступа к уязвимой системе и повышения привилегий. Это подчеркивает важность своевременной установки обновлений для соответствующего программного обеспечения.

На устройствах под управлением Linux чаще всего детектировались эксплойты к следующим уязвимостям:

• CVE-2022-0847 — уязвимость, известная как Dirty Pipe, которая позволяет повышать привилегии и перехватывать управление запущенными приложениями;
• CVE-2019-13272 — уязвимость некорректной обработки наследования привилегий, которая может быть использована для их повышения;
• CVE-2021-22555 — уязвимость переполнения кучи в подсистеме ядра Netfilter;
• CVE-2023-32233 — уязвимость в подсистеме Netfilter, которая позволяет создать условия для Use-After-Free и повысить привилегии за счет некорректной обработки сетевых запросов.

Динамика числа пользователей Linux, столкнувшихся с эксплойтами, Q1 2025–Q1 2026. За 100% принято число пользователей, столкнувшихся с эксплойтами в Q1 2025 (скачать)

В первом квартале 2026 года мы отмечаем снижение количества детектируемых эксплойтов, однако относительно того же периода в предыдущем году доля детектирований увеличивается. Для операционной системы Linux также критична установка патчей.

Самые распространенные опубликованные эксплойты

Распределение опубликованных эксплойтов по типам программного обеспечения в первом квартале 2026 года обновляет набор категорий, мы снова видим эксплойты для операционных систем и систем Microsoft Office.

Распределение опубликованных эксплойтов к уязвимостям по платформам, Q1 2026 (скачать)

Использование уязвимостей в APT-атаках

Мы проанализировали, какие уязвимости использовались в APT-атаках в первом квартале 2026 года. Представленный ниже рейтинг включает данные на основе нашей телеметрии, исследований и открытых источников.

ТОР 10 уязвимостей, эксплуатируемых в APT-атаках, Q1 2026 (скачать)

В первом квартале 2026 года злоумышленники продолжили использовать в APT-атаках громкие уязвимости, зарегистрированные в предыдущем году. Гипотеза, которую мы выдвигали ранее, подтвердилась: проблемы безопасности, затрагивающие веб-приложения, по-прежнему активно эксплуатируются в реальных атаках. Однако мы также наблюдаем некоторое обновление арсенала злоумышленников. В частности, в первом квартале года в APT-кампаниях использовались недавно обнаруженные уязвимости в продуктах Microsoft Office, ПО для пограничных сетевых устройств и системах управления удаленным доступом. Хотя наиболее активно эксплуатируются именно свежие уязвимости, их характеристики в целом продолжают подкреплять уже сформировавшиеся тенденции в отношении категорий уязвимого программного обеспечения. Поэтому мы настоятельно рекомендуем использовать исправления безопасности, предоставленные вендорами.

C2-фреймворки

В этом разделе мы рассмотрим самые популярные C2-фреймворки, используемые злоумышленниками, и проанализируем уязвимости, эксплойты к которым взаимодействовали с C2-агентами в APT-атаках.

На графике ниже показана частота известных случаев использования С2-фреймворков в атаках на пользователей за первый квартал 2026 года согласно открытым источникам.

ТОР 10 C2-фреймворков, используемых APT для компрометации систем пользователей, Q1 2026 (скачать)

На первое место в списке самых распространенных C2-фреймворков вернулся Metasploit, сместив Sliver, который разделяет вторую строчку с инструментом Havoc. За ними следуют Covenant, а также Mythic, ранее пользовавшийся большей популярностью. Мы изучили открытые источники, проанализировали образцы вредоносных С2-агентов, содержащие эксплойты, и выяснили, что в APT-атаках с указанными выше С2-фреймворками использовались следующие уязвимости:

• CVE-2023-46604 — уязвимость небезопасной десериализации, позволяющая выполнять произвольный код в контексте процесса на сервере, если на нем запущена служба Apache ActiveMQ;
• CVE-2024-12356 и CVE-2026-1731 — уязвимости инъекции команд в ПО BeyondTrust, позволяющие злоумышленнику отправлять вредоносные команды даже без аутентификации в системе;
• CVE-2023-36884 — уязвимость в компоненте «Поиск Windows», которая позволяет запускать команды в системе в обход механизмов защиты, встроенных в приложения Microsoft Office;
• CVE-2025-53770 — уязвимость небезопасной десериализации в Microsoft SharePoint, которая позволяет выполнять команды на сервере без аутентификации;
• CVE-2025-8088 и CVE-2025-6218 — схожие уязвимости обхода каталога, которые позволяют распаковать файлы из архива по заранее заданному пути, при этом архиватор может не выдавать пользователю никаких сообщений.

Характер описанных уязвимостей свидетельствует о том, что они эксплуатировались для получения первоначального доступа к системе. Отметим, что основная часть проблем безопасности направлена на обход механизмов аутентификации. Скорее всего, это связано с тем, что C2-агенты эффективно детектируются, и злоумышленники стремятся снизить вероятность обнаружения за счет эксплойтов обхода.

Интересные уязвимости

Этот раздел содержит наиболее интересные уязвимости, которые были опубликованы в первом квартале 2026 года и имеют общедоступное описание.

CVE-2026-21519 — уязвимость диспетчера окон рабочего стола

В основе этой уязвимости лежит проблема Type Confusion. При попытке получить доступ к ресурсу в подсистеме Desktop Windows Manager злоумышленник может повысить привилегии. Для эксплуатации этой проблемы необходимым условием является авторизация в системе.

Стоит отметить, что подсистема DWM уже достаточно давно является объектом пристального внимания злоумышленников. Основным вектором атак традиционно является работа с набором функций NtDComposition*.

RegPwn (CVE-2026-21533) — уязвимость некорректного управления доступом к системным настройкам

CVE-2026-21533 — это, по сути, логическая уязвимость, которая позволяет повышать привилегии пользователя. Она заключается в некорректной обработке привилегий в компонентах служб удаленного рабочего стола (RDS). Если атакующий модифицирует параметры службы в реестре, заменив конфигурацию на собственный ключ, он сможет повысить привилегии до уровня SYSTEM. Эта уязвимость может надолго обосноваться в арсенале злоумышленников как способ закрепления в системе и получения высоких привилегий.

CVE-2026-21514 — уязвимость в системах Microsoft Office

Уязвимость была обнаружена в дикой природе в атаках на системы пользователей. Из особенностей — для начала работы этой уязвимости используется файл .lnk. CVE-2026-21514 также является логической проблемой, которая позволяет обходить ограничения технологии OLE на запуск вредоносного кода и отправки запросов на аутентификацию по протоколу NetNTLM при использовании недоверенных входных данных.

Clawdbot (CVE-2026-25253) — уязвимость в OpenClaw

Уязвимость в ИИ-агенте раскрывает учетные данные (токены аутентификации) при запросе по протоколу WebSocket. Она способна приводить к компрометации инфраструктуры, в которой установлен агент: исследователи подтвердили возможности получения доступа к локальным системным данным и выполнения команд с высокими привилегиями. Опасность CVE-2026-25253 заключается еще и в том, что ее эксплуатация породила множество различных сценариев развития атаки, включая, например, использование промпт-инъекций и техники ClickFix для установки стилера в уязвимые системы.

CVE-2026-34070 — уязвимость в фреймворке LangChain

LangChain — это фреймворк с открытым исходным кодом для создания приложений с использованием больших языковых моделей (LLM). Уязвимость обхода каталога позволяла злоумышленникам получить доступ к произвольным файлам в инфраструктуре, в которой используется фреймворк. Суть CVE-2026-34070 заключается в том, что некоторые функции в langchain_core/prompts/loading.py небезопасно работали с файлами конфигураций. Это потенциально могло приводить к обработке файлов, в которых передавались опасные данные. Они могли использоваться для запуска команд и раскрытия критичной информации о системе и других чувствительных файлах.

CVE-2026-22812 — уязвимость в OpenCode

CVE-2026-22812 — это очередная уязвимость в ПО для написания кода при помощи ИИ. Агент OpenCode по умолчанию открывал локальный доступ к запуску разрешенных приложений через сервер, который работал по протоколу HTTP и не требовал аутентификации. Таким образом злоумышленники могли выполнять вредоносные команды на уязвимом устройстве с правами текущего пользователя.

Выводы и рекомендации

Мы отмечаем, что в первом квартале 2026 года регистрация уязвимостей постепенно набирает обороты, чему активно способствует повсеместное развитие ИИ-инструментов, нацеленных на поиск проблем безопасности в различных видах ПО. Вероятно, эта тенденция приведет не только к увеличению числа зарегистрированных уязвимостей, но и к росту количества атак с использованием эксплойтов, что лишний раз напоминает о критической важности своевременной установки обновлений безопасности. Помимо этого, необходимо уделять внимание приоритизации уязвимостей и применять эффективные защитные технологии для митигации рисков, связанных с возможной эксплуатацией.

Для оперативного выявления угроз, связанных с эксплуатацией уязвимостей, и предотвращения их развития необходимо использовать надежное защитное решение. Ключевыми характеристиками подобного инструмента являются непрерывный мониторинг состояния инфраструктуры, проактивная защита и приоритизация уязвимостей на основе их актуальности. Эти механизмы реализованы в решении Kaspersky Symphony, которое также обеспечивает безопасность рабочих мест и защиту от кибератак любой сложности.