Июнь у администраторов снова начался с длинного списка срочных обновлений. Microsoft закрыла более 200 уязвимостей в Windows, Office, Exchange, Azure и других продуктах, а часть ошибок уже успели обсудить в открытом доступе или использовать в атаках.

Для обычного пользователя это выглядит как очередной набор обновлений. Для компаний — как повод без промедления проверить рабочие станции, серверы Exchange и сетевую инфраструктуру: в пакете есть ошибки, через которые можно удалённо выполнить код или поднять права в системе.

Что именно исправила Microsoft

Главная цифра месяца — больше 200 закрытых дыр. Почти 40 из них получили статус критических, а это значит, что риск особенно высок там, где серверы доступны из сети или где пользователи регулярно открывают почту и документы.

Отдельно Microsoft подтвердила шесть 0-day. В её классификации это не только баги, которые уже эксплуатируют, но и уязвимости, о которых успели публично рассказать до выхода патча. В июне к этой группе отнесли и свежие находки, и старые ошибки, которые так и не дожили до нормального исправления с первого раза.

Какие проблемы выглядят опаснее всего

Одна из самых серьёзных уязвимостей — CVE-2026-45657 в ядре Windows. Microsoft оценила её в 9,8 балла по CVSS: ошибка use-after-free может привести к удалённому запуску кода через специально сформированный сетевой трафик. То есть атака не требует входа в систему и не просит пользователя что-то нажимать.

Ещё две критические RCE-уязвимости — CVE-2026-47291 в HTTP.sys и CVE-2026-44815 в DHCP Client. В обоих случаях атакующему не нужны учётные данные, а вредоносный пакет или запрос может открыть путь к запуску кода на машине жертвы.

Именно поэтому подобные истории лучше разбирать не только как новость, но и как повод пересмотреть базовую гигиену обновлений. Ранее мы уже писали, как похожие дыры бьют по корпоративным сервисам в материале о Proto6 в protobuf.js и почему безопасность на этапе релиза потом обходится дороже.

Exchange, BitLocker и старые проблемы, которые вернулись

Самая неприятная история месяца — CVE-2026-42897 в Exchange Server. По описанию Microsoft, уязвимость позволяет внедрить JavaScript-код в браузер жертвы через специально подготовленное письмо, если пользователь откроет его в Outlook Web Access и совпадёт ряд условий.

Полного патча для этой ошибки пока нет. Microsoft временно закрывает риск через Exchange Emergency Mitigation Service, а это всегда хуже полноценного исправления: админам приходится следить за состоянием защиты и не надеяться, что одна установка всё решила.

Отдельный блок — BitLocker. Microsoft закрыла ещё один публично раскрытый обход защиты, CVE-2026-50507, который связан с проблемой bitskrieg. Сценарий опасен тем, что при физическом доступе к устройству злоумышленник может добраться до зашифрованных данных. Есть и побочный эффект: эксперт Уилл Дорманн предупреждает, что после установки патча некоторые системы могут показать ошибку загрузки ключа BitLocker.

Как это выглядит для компаний и обычных пользователей

Для домашнего ноутбука главный вывод простой: не откладывать обновления Windows и следить за состоянием шифрования диска. Для офиса список длиннее — проверить серверы Exchange, сетевые сервисы, политики обновления и то, как быстро патчи доходят до всех машин.

Если вы работаете удалённо и часто подключаетесь через публичные сети, полезно выстроить привычку делать это только через заранее подготовленный набор средств защиты. В такой схеме удобно держать и инструмент для шифрования трафика, и обновлённый браузер, и актуальные патчи ОС. Но это не заменяет исправления самих уязвимостей — только снижает сопутствующие риски.

Отдельно стоит смотреть на почту. Если у вас включён доступ к Exchange через браузер, любое подозрительное письмо лучше считать потенциально опасным до проверки заголовков, отправителя и вложений. В этом месяце именно почтовый сценарий снова оказался одним из самых неприятных.

Кому что делать прямо сейчас

Домашним пользователям достаточно поставить все обновления Windows и не игнорировать перезагрузку. Тем, у кого включён BitLocker, стоит проверить, не появилась ли ошибка после обновления, и не хранить ключ восстановления в очевидном месте.

Админам нужно пройтись по Exchange, сегментировать доступ к серверным сервисам и убедиться, что критические узлы получают патчи без задержек. Отдельное внимание — машинам с открытым сетевым доступом: именно они чаще всего становятся первой целью после публикации бюллетеней.

Общий вывод месяца простой: масштаб уязвимостей растёт, и это уже не редкий инцидент, а обычный ритм индустрии. На этом фоне выиграют те, кто обновляет системы быстро и не полагается на «потом разберёмся».

Практический чек-лист

  • Установите июньские обновления Windows, Office и других продуктов Microsoft.
  • Проверьте, что перезагрузка после патча действительно завершилась.
  • Уточните, не затронут ли ваши серверы Exchange и HTTP.sys.
  • Посмотрите журналы на предмет ошибок BitLocker после обновления.
  • Ограничьте физический доступ к ноутбукам и рабочим станциям с шифрованием диска.
  • Для удалённой работы и поездок держите под рукой надёжный инструмент для шифрования трафика.
  • Не открывайте подозрительные письма в веб-интерфейсах почты без проверки отправителя и контекста.
  • Назначьте ответственного за контроль критических патчей в вашей организации.
Поделиться: