Spoločnosť Microsoft v utorok (10. 2. 2026) vydala bezpečnostné aktualizácie, ktoré riešia celkovo 59 zraniteľností vo svojom softvéri, vrátane šiestich chýb, ktoré boli podľa nej aktívne zneužívané v praxi.
Z celkového počtu 59 chýb je päť hodnotených ako kritické, 52 ako dôležité a dve ako stredne závažné. Dvadsaťpäť opravených zraniteľností bolo klasifikovaných ako eskalácia oprávnení, nasleduje vzdialené spustenie kódu (12), podvrhnutie identity (7), únik informácií (6), obídenie bezpečnostnej funkcie (5), odmietnutie služby (3) a cross-site scripting (1).
Za zmienku stojí, že tieto opravy sú navyše k trom bezpečnostným chybám, ktoré Microsoft vyriešil vo svojom prehliadači Edge od vydania aktualizácie Patch Tuesday z januára 2026. Patrí medzi ne aj stredne závažná zraniteľnosť ovplyvňujúca prehliadač Edge pre Android (CVE-2026-0391, CVSS skóre: 6,5), ktorá by mohla umožniť neoprávnenému útočníkovi vykonať podvrhnutie identity cez sieť zneužitím „nesprávnej reprezentácie kritických informácií v používateľskom rozhraní“.
Šesť aktívne zneužívaných zraniteľností
Na čele tohto mesiaca stoja tieto aktívne zneužívané chyby:
- CVE-2026-21510 (CVSS 8,8) – Zlyhanie ochranného mechanizmu vo Windows Shell, ktoré umožňuje neoprávnenému útočníkovi obísť bezpečnostnú funkciu cez sieť.
- CVE-2026-21513 (CVSS 8,8) – Zlyhanie ochranného mechanizmu v MSHTML Framework, ktoré umožňuje neoprávnenému útočníkovi obísť bezpečnostnú funkciu cez sieť.
- CVE-2026-21514 (CVSS 7,8) – Spoliehanie sa na nedôveryhodné vstupy pri bezpečnostnom rozhodovaní v Microsoft Office Word, ktoré umožňuje neoprávnenému útočníkovi lokálne obísť bezpečnostnú funkciu.
- CVE-2026-21519 (CVSS 7,8) – Prístup k zdroju pomocou nekompatibilného typu („type confusion“) v Desktop Window Manageri, ktorý umožňuje oprávnenému útočníkovi lokálne eskalovať oprávnenia.
- CVE-2026-21525 (CVSS 6,2) – Dereferencovanie nulového ukazovateľa vo Windows Remote Access Connection Manager, ktoré umožňuje neoprávnenému útočníkovi lokálne spôsobiť odmietnutie služby.
- CVE-2026-21533 (CVSS 7,8) – Nesprávna správa oprávnení vo Windows Remote Desktop, ktorá umožňuje oprávnenému útočníkovi lokálne eskalovať oprávnenia.
Prvé tri zraniteľnosti objavili a nahlásili bezpečnostné tímy Microsoftu a Google Threat Intelligence Group (GTIG). V čase vydania boli verejne známe. Zatiaľ nie sú dostupné detaily o tom, ako sú tieto chyby zneužívané ani či boli použité v rámci jednej kampane.
Podľa Jacka Becera, riaditeľa výskumu zraniteľností v spoločnosti Action1, je CVE-2026-21513 zraniteľnosť typu obídenie bezpečnostnej funkcie v MSHTML Frameworku – kľúčovej súčasti systému Windows používanej na vykresľovanie HTML obsahu.
„Je spôsobená zlyhaním ochranného mechanizmu, ktoré útočníkom umožňuje obísť výzvy na potvrdenie spustenia, keď používateľ interaguje so škodlivými súbormi. Špeciálne upravený súbor môže ticho obísť bezpečnostné upozornenia Windows a jediným kliknutím spustiť nebezpečné akcie.“
Satnam Narang zo spoločnosti Tenable uviedol, že CVE-2026-21513 a CVE-2026-21514 majú „veľa spoločného“ s CVE-2026-21510. Rozdiel je v tom, že CVE-2026-21513 možno zneužiť pomocou HTML súboru, zatiaľ čo CVE-2026-21514 iba prostredníctvom súboru Microsoft Office.
Zraniteľnosť CVE-2026-21525 súvisí s inou zero-day chybou, ktorú služba 0patch od ACROS Security objavila v decembri 2025 pri vyšetrovaní podobnej chyby v tom istom komponente (CVE-2025-59230).
Podľa Kevina Breena zo spoločnosti Immersive ide pri CVE-2026-21519 a CVE-2026-21533 o lokálne eskalácie oprávnení. To znamená, že útočník už musí mať prístup k napadnutému systému – napríklad cez škodlivú prílohu, inú zraniteľnosť umožňujúcu vzdialené spustenie kódu alebo laterálnym pohybom z iného kompromitovaného systému.
Po získaní prístupu môže útočník zvýšiť oprávnenia na úroveň SYSTEM, čím môže vypnúť bezpečnostné nástroje, nasadiť ďalší malvér alebo získať citlivé údaje a prihlasovacie údaje vedúce až ku kompromitácii celej domény.
Spoločnosť CrowdStrike, ktorá nahlásila CVE-2026-21533, neidentifikovala konkrétneho útočníka, no upozornila, že držitelia exploit kódu pravdepodobne v blízkej budúcnosti zintenzívnia jeho využívanie alebo predaj.
Exploit pre CVE-2026-21533 mení konfiguračný kľúč služby a nahrádza ho kľúčom kontrolovaným útočníkom, čo môže umožniť pridať nového používateľa do skupiny Administrator.
Reakcia CISA a Secure Boot
Americká agentúra CISA pridala všetkých šesť zraniteľností do katalógu Known Exploited Vulnerabilities (KEV) a nariadila federálnym úradom aplikovať opravy do 3. marca 2026.
Aktualizácia zároveň zahŕňa distribúciu nových certifikátov Secure Boot, ktoré nahradia pôvodné certifikáty z roku 2011 s platnosťou do konca júna 2026. Nové certifikáty budú distribuované cez bežný mesačný proces aktualizácie Windows bez nutnosti ďalšieho zásahu používateľa.
Ak zariadenie nové certifikáty nedostane pred vypršaním platnosti starých, bude naďalej fungovať normálne, no prejde do režimu zníženej bezpečnosti, ktorý obmedzí schopnosť prijímať budúce ochrany na úrovni bootovania.
Postupom času môžu takéto systémy čeliť kompatibilitným problémom s novšími operačnými systémami, firmvérom, hardvérom alebo softvérom závislým od Secure Boot.
Nové bezpečnostné iniciatívy
Microsoft zároveň posilňuje predvolené ochrany Windows prostredníctvom iniciatív:
- Windows Baseline Security Mode
- User Transparency and Consent
Tieto opatrenia spadajú pod programy Secure Future Initiative a Windows Resiliency Initiative.
Windows Baseline Security Mode umožní, aby systém štandardne fungoval s ochranami integrity počas behu, čím zabezpečí, že budú spustené iba správne podpísané aplikácie, služby a ovládače.
User Transparency and Consent, podobne ako rámec TCC v systéme macOS, zavedie jednotný prístup k bezpečnostným rozhodnutiam. Systém bude používateľov upozorňovať, keď aplikácie požadujú prístup k citlivým zdrojom, ako sú súbory, kamera alebo mikrofón, alebo keď sa pokúšajú nainštalovať iný softvér.
Tieto výzvy budú jasné a používateľ bude mať možnosť svoje rozhodnutia kedykoľvek zmeniť. Aplikácie aj AI agenti budú musieť spĺňať vyššie štandardy transparentnosti, čím sa zlepší prehľad používateľov aj IT administrátorov o ich správaní.
Viac informácií tu:
https://thehackernews.com/2026/02/microsoft-patches-59-vulnerabilities.html
https://www.crowdstrike.com/en-us/blog/patch-tuesday-analysis-february-2026