CVE-2026-20841: Удаленное выполнение кода в Windows Notepad — Эксплойт через Markdown

CVE-2026-20841 — это уязвимость удаленного выполнения кода (Remote Code Execution), обнаруженная в современной версии Блокнота, распространяемой через Microsoft Store. Корень проблемы кроется в небезопасной обработке специфических URI-схем в новом функционале поддержки Markdown. Данный недостаток позволяет атакующему создать специально подготовленный текстовый файл. При взаимодействии с ним приложение принудительно выполняет опасные системные команды, превращая безобидный текстовый редактор в вектор первоначального доступа к системе.

Эксплойт нацелен на движок парсинга Markdown, внедренный в последние версии Блокнота. В отличие от классического notepad.exe, современное приложение обрабатывает форматирование и ссылки. Злоумышленники могут внедрить гиперссылку с использованием нестандартного протокола, указывающего на удаленный скрипт или исполняемый файл. При клике по такой ссылке Блокнот, вместо вызова браузера, передает неочищенные данные напрямую системному обработчику протоколов. Это позволяет внедрить аргументы для запуска произвольного кода, обходя стандартные предупреждения безопасности Windows.

Оценка CVSS: 8.8 (Высокая) Несмотря на необходимость взаимодействия с пользователем (User Interaction), повсеместность Блокнота делает угрозу критической: • Удаленное выполнение кода: Загрузка шифровальщиков, шпионского ПО или бэкдоров. • Компрометация окружения: Код выполняется в контексте пользователя, открывая доступ к документам и сетевым дискам. • Социальная инженерия: Высокий уровень доверия к текстовым файлам облегчает фишинг.

Проблема актуальна для: • Windows Notepad (Microsoft Store App) версий ниже 11.2510 • Важно: Классический "Блокнот" (Legacy, System32\notepad.exe) НЕ уязвим

Microsoft выпустила патч. Требуется обновление приложения. Вариант 1: Обновление через Store (Обязательно) Откройте Microsoft Store, перейдите в раздел "Библиотека" и нажмите "Получить обновления". Убедитесь, что версия Windows Notepad обновлена до 11.2510 или выше. Вариант 2: Блокировка политиками Администраторы безопасности могут временно запретить запуск современного приложения (Package family name: Microsoft.WindowsNotepad) через AppLocker, принудительно переведя пользователей на классическую версию до развертывания патча.

Если ваши рабочие станции используют устаревшие версии приложений из Store, периметр находится под угрозой. Платформа TEPTEZ способна автоматически сканировать инфраструктуру на наличие уязвимого ПО, включая встроенные компоненты Windows. Мы предоставляем полную видимость рисков и инструкции по их устранению.