Коротко: 17 июля 2026 года исследователи BI.ZONE раскрыли OnlyShells — цепочку из пяти уязвимостей в ONLYOFFICE Desktop Editors, которая превращает один офисный документ в полный захват ПК на Windows. Достаточно открыть специально подготовленный файл (атака в один клик, без макросов и запросов), чтобы злоумышленник выполнил код и поднял права до администратора, — а привычные средства защиты могут этого не заметить. Исправление вышло в ONLYOFFICE Desktop Editors 9.3.0, и обновление — единственный шаг, который реально закрывает дыру.
Что произошло
17 июля 2026 года группа исследования уязвимостей российской компании BI.ZONE опубликовала детали OnlyShells — цепочки уязвимостей в ONLYOFFICE Desktop Editors, бесплатном офисном пакете для работы с документами, таблицами и презентациями. О раскрытии в тот же день написали Anti-Malware.ru и CNews. BI.ZONE сообщила о проблемах разработчику в рамках ответственного раскрытия, и исправленная сборка вышла ещё до публикации деталей.
ONLYOFFICE распространён широко: по оценке BI.ZONE, его используют около 30% российских компаний, а во всём мире — более 15 млн пользователей. Поэтому уязвимость, срабатывающая при простом открытии документа, имеет очень большой потенциальный радиус поражения.
В чём суть цепочки уязвимостей
OnlyShells — это не одна ошибка, а пять, соединённых в цепочку: CVE-2025-68917, CVE-2025-68935 и CVE-2025-68936 (каждая с оценкой 6.4 по CVSS 3.1), а также CVE-2023-2033 и CVE-2026-41030. По отдельности оценки выглядят умеренно, но собранные в последовательность они резко усиливают друг друга: сначала произвольное выполнение кода при разборе документа, затем повышение привилегий через CVE-2026-41030 до полноправной учётной записи (суперпользователя) в Windows.
Причинами в BI.ZONE называют недостаточную проверку пользовательских данных и устаревшие сторонние зависимости в составе редактора. Павел Блинников, руководитель группы исследования уязвимостей BI.ZONE, предупредил, что современные средства защиты могут не обнаружить эксплуатацию этой цепочки — пользователь просто открывает файл, а машина тихо начинает жить не своей жизнью.
Чем это опасно для ваших данных
Ключевая черта OnlyShells — это атака в один клик. Нет предупреждения о макросах, которое можно проигнорировать, нет диалога с разрешениями — открытие документа и есть весь эксплойт. А это ровно то действие, которое люди совершают по десятку раз в день не задумываясь: счета, договоры, «документы от коллеги».
Как только код исполняется с правами администратора, злоумышленник фактически владеет машиной: кража паролей из браузера, перехват банковских и почтовых сессий, шифрование файлов вымогателем или установка постоянного бэкдора. А поскольку стандартная защита может не поднять тревогу, компрометация способна оставаться незаметной. Чем больше ваших данных уже всплыло в других инцидентах — как в утечке миллиардов паролей через инфостилеры, о которой мы писали, — тем прицельнее такую атаку можно навести именно на вас.
Как защититься
Обновите ONLYOFFICE Desktop Editors до версии 9.3.0 или новее. Эта версия закрывает всю цепочку. Скачайте её с официального сайта onlyoffice.com и переустановите поверх текущей — это единственный шаг, который реально закрывает дыру.
Не открывайте документы из непроверенных источников. Для атаки нужно, чтобы вы сами открыли вредоносный файл, поэтому относитесь к неожиданным вложениям — даже безобидным на вид .docx, .xlsx или .pptx — с подозрением; признаки атаки разобраны в нашем гайде как защитить аккаунт от взлома.
Используйте менеджер паролей и двухфакторную аутентификацию. Если код всё же выполнится на вашей машине, уникальные пароли в менеджере паролей и 2FA ограничат, как далеко зайдёт злоумышленник с украденным.
Шифруйте соединение в недоверенных сетях. VPN не закрывает дыру в программе — это делает только обновление. Но он дополняет патчинг: в публичном или общем Wi-Fi он уводит трафик в зашифрованный туннель, чтобы посторонние в той же сети не перехватили логины и сессии, которые вы отправляете в банк, почту или рабочие порталы. LiMP VPN — no-logs-сервис для iOS и Android; смотрите возможности и тарифы, а больше новостей о безопасности — в нашем блоге.
Стоит ли беспокоиться, если я не пользуюсь ONLYOFFICE?
Если ONLYOFFICE Desktop Editors не установлен, конкретно эта цепочка вас не касается — но урок шире. Любой офисный пакет, просмотрщик PDF или медиаплеер, который открывает файлы извне, может нести ошибку разбора, превращающуюся в атаку в один клик. Держите все такие программы обновлёнными, ставьте их из официальных источников и с осторожностью относитесь к неожиданным вложениям — независимо от того, какое приложение их открывает. Привычка важнее любого одного патча.
Источники
Материал подготовлен по раскрытию OnlyShells от BI.ZONE от 17 июля 2026 года в изложении Anti-Malware.ru и CNews, июль 2026 года.
