Lutowy Patch Tuesday od Microsoftu – kluczowe łatki i nowe zagrożenia

Jedno kliknięcie i po herbacie? Lutowy Patch Tuesday udowadnia, że to wciąż aktualny scenariusz.

Microsoft załatał ponad 50 luk, w tym sześć zero-dayów aktywnie wykorzystywanych przez atakujących. Trzy z nich to obejścia zabezpieczeń (SmartScreen/Word/MSHTML), które po sprytnym podsunięciu pliku lub linku potrafią uciszyć ostrzeżenia i uruchomić to, czego użytkownik nie powinien uruchamiać. Do tego eskalacje uprawnień w Desktop Window Manager i Remote Desktop Services oraz kłopotliwy DoS w komponencie VPN. A w tle startuje wymiana certyfikatów Secure Boot. Krótko mówiąc: to jest ten miesiąc, w którym naprawdę warto kliknąć „Aktualizuj”.

Patch Tuesday? To rytuał, w którym Microsoft (i zwykle Adobe) zsynchronizowane wypuszczają poprawki. W lutym 2026 nacisk pada na trzy wektory: obejścia w warstwie „czy na pewno chcesz to otworzyć?”, odgrzewane grzechy przeszłości w MSHTML/Trident oraz niskoszumowe eskalacje uprawnień, które zamieniają pojedynczy błąd użytkownika w pełne przejęcie stacji. Do tego kilka łatek dla narzędzi deweloperskich z AI oraz ważna operacja serwisowa wokół Secure Boot.

Ile tego jest? Zależnie od sposobu liczenia (czy wliczamy wcześniejsze poprawki dla Edge, komponenty firm trzecich itd.) mowa o 55-59 biuletynach i około 58 CVE, z pięcioma oznaczonymi jako krytyczne. Ważniejsze jednak od tabelki jest to, że aż sześć luk było już w użyciu „na wolności” – statystyka wyraźnie wyższa niż w styczniu.

Trzy kliknięcia za dużo: obejścia zabezpieczeń

• CVE-2026-21510 (Windows Shell SFB): jeden klik w spreparowany link lub skrót (.lnk/.url) potrafi ominąć SmartScreen i w praktyce pozwolić na uruchomienie niechcianego kodu. Publicznie znane i aktywnie wykorzystywane. [4][6]
• CVE-2026-21513 (MSHTML/Trident SFB): otwarcie złośliwego HTML-a lub skrótu wywołuje znany mechanizm – starszy silnik przeglądarki obecny w systemie i Office pozwala obchodzić monity bezpieczeństwa.
• CVE-2026-21514 (Word SFB): odpowiednio spreparowany dokument Office obchodzi mitigacje OLE i może trafić w niebezpieczny COM/OLE control. Dobra wiadomość: nie da się tego wywołać przez podgląd w Panelu podglądu. Zła: ludzie i tak otwierają załączniki. [7]

Analitycy zwracają uwagę, że choć Microsoft nie pisze tego wprost, wszystkie trzy wyglądają na kolejne warianty „prania” Mark-of-the-Web w starszych komponentach. Jeśli brzmi znajomo – tak, miesiąc temu był bardzo podobny, awaryjny patch dla Office.

Podniesienie uprawnień: DWM i RDS

• CVE-2026-21519 (Desktop Window Manager, EoP): lokalna eskalacja do SYSTEM przez typowy type confusion w DWM. Drugi miesiąc z rzędu ten komponent jest na celowniku – w styczniu łata dotyczyła ujawniania adresów w pamięci, teraz mamy pełnoprawne EoP. Klasyczny element łańcucha: najpierw wejście przez dokument/link, potem szybka wspinaczka po uprawnieniach. [2][1]
• CVE-2026-21533 (Remote Desktop Services, EoP): wykorzystywane co najmniej od grudnia 2025 r. w celach przestępczych w USA i Kanadzie. Eksploit podmienia klucze konfiguracji usługi tak, by dołączyć napastnika do Administratorów – znowu SYSTEM w zasięgu. Jeśli RDS jest w waszym obrazie bazowym, to jest priorytet. [6]

VPN na cienkiej linii: RasMan DoS

• CVE-2026-21525 (Remote Access Connection Manager, DoS): lokalny, ale bardzo uciążliwy. Wystarczy standardowe konto, by skryptem wywrócić usługę utrzymującą połączenia VPN. W środowiskach z always-on VPN i polityką „fail close” końcówki potrafią odciąć się od sieci, a wtedy nie da się ich zdalnie naprawić. Patchować szybko.

Deweloperzy i AI: zimny prysznic

W tym rzucie są też łatki na zdalne wykonanie kodu i obejścia w GitHub Copilot oraz popularnych IDE (VS Code, Visual Studio, JetBrains) – m.in. CVE-2026-21516, CVE-2026-21523, CVE-2026-21256. Źródłem jest komendowa iniekcja możliwa przez prompt injection: nakłonienie agenta AI, by zrobił coś, czego nie powinien. Deweloperzy mają często w kieszeniach klucze do królestwa (API, sekrety w pipeline’ach), więc tu obowiązuje zasada najmniejszych uprawnień i bardzo ostrożne łączenie AI z automatyzacją.

Secure Boot: cicha, ale ważna wymiana certyfikatów

Równolegle Microsoft zaczął wprowadzać nowe certyfikaty Secure Boot, zastępując te z 2011 roku, które wygasają latem i jesienią 2026. Wdrażanie jest warunkowe – urządzenia dostaną certyfikaty dopiero po zebraniu „wystarczająco dobrych sygnałów aktualizacyjnych”, co ma ograniczyć ryzyko ubocznych skutków. Jeśli zarządzacie flotą, miejcie to na radarze: brak aktualizacji z czasem podniesie ryzyko obejścia Secure Boot.

Adobe też łata

Po stronie Adobe: dziewięć biuletynów, 44 luki m.in. w After Effects (największy pakiet poprawek, w tym trzynaście krytycznych), Substance 3D Designer/Stager, Audition, InDesign, Bridge, Lightroom Classic i DNG SDK. Dobra wiadomość: żadna z tych luk nie była publicznie znana ani wykorzystywana w momencie publikacji, a priorytet wdrożenia to 3.

Szerszy obraz i priorytety

W liczbach dominują podniesienia uprawnień i obejścia mechanizmów bezpieczeństwa; klasyczny RCE stanowi mniejszą, choć istotną część. Nietypowo wysoka liczba luk „pod ostrzałem” sugeruje, że wchodzimy w sezon, w którym socjotechnika (zachęta do otwarcia pliku/linku) łączy się z obejściami „guzika ostrzegawczego”, a stare komponenty Windows nadal dostarczają niespodzianek.

Co robić teraz?

• Priorytetowo testujcie i wdrażajcie poprawki dla: CVE-2026-21510, -21513, -21514 (obejścia), CVE-2026-21519 (DWM EoP), CVE-2026-21533 (RDS EoP), CVE-2026-21525 (RasMan DoS).
• Przejrzyjcie stacje deweloperskie i agenty CI: zaktualizujcie Copilota/IDE, ograniczcie uprawnienia i zakres tajemnic, które mogą „wypłynąć”, jeśli AI zostanie zmanipulowana.
• Zwróćcie uwagę na wdrażanie Secure Boot – brak aktualności tu może boleśnie wrócić za kilka miesięcy.
• I jak zawsze: backup przed wdrożeniem i oko na znane problemy jakościowe poprawek.

Podsumowując: to nie jest nudny wtorek. Klikanie w „niewinne” skróty i dokumenty znów bywa bramką do systemu, a kilka linii kodu może wyłączyć firmowy VPN. Łatki są gotowe – pytanie, czy wasze środowisko też.

FAQ

Jakie zero-daye Microsoft załatał w lutym 2026?

Microsoft załatał sześć zero-dayów: trzy obejścia zabezpieczeń (CVE-2026-21510 w Windows Shell, CVE-2026-21513 w MSHTML, CVE-2026-21514 w Word), dwie eskalacje uprawnień (CVE-2026-21519 w DWM, CVE-2026-21533 w RDS) i DoS w RasMan (CVE-2026-21525). [3][5]

Czy luka CVE-2026-21514 w Word działa w Panelu podglądu?

Nie, Microsoft potwierdza, że Panel podglądu nie jest wektorem dla CVE-2026-21514. Atak wymaga otwarcia złośliwego pliku Office.

Które poprawki wdrożyć najpierw w środowisku korporacyjnym?

Najpierw CVE-2026-21510/21513/21514 (obejścia, aktywnie wykorzystywane), potem CVE-2026-21519 i CVE-2026-21533 (eskalacje do SYSTEM), a także CVE-2026-21525 (RasMan), zwłaszcza jeśli korzystacie z always-on VPN.

Kiedy urządzenia dostaną nowe certyfikaty Secure Boot?

Wdrażanie już trwa, ale jest etapowe; urządzenia otrzymają certyfikaty po spełnieniu warunków stabilności aktualizacji. Stare certyfikaty z 2011 r. wygasają od czerwca do października 2026.

Źródła

• [1] https://thezdi.com/blog/2026/2/10/the-february-2026-security-update-review
• [2] https://rapid7.com/blog/post/em-patch-tuesday-february-2026
• [3] https://krebsonsecurity.com/2026/02/patch-tuesday-february-2026-edition/
• [4] https://bleepingcomputer.com/news/microsoft/microsoft-february-2026-patch-tuesday-fixes-6-zero-days-58-flaws/
• [5] https://arcticwolf.com/resources/blog/microsoft-patch-tuesday-february-2026/
• [6] https://helpnetsecurity.com/2026/02/11/february-2026-patch-tuesday/
• [7] https://lansweeper.com/blog/patch-tuesday/microsoft-patch-tuesday-february-2026/
• [8] https://krebsonsecurity.com/2026/01/patch-tuesday-january-2026-edition/
• [9] https://bleepingcomputer.com/news/microsoft/microsoft-january-2026-patch-tuesday-fixes-3-zero-days-114-flaws/