Luka w Notatniku Windows 11: kliknięcie linku Markdown mogło uruchamiać pliki „po cichu” (CVE-2026-20841) - Security Bez Tabu

Luka w Notatniku Windows 11: kliknięcie linku Markdown mogło uruchamiać pliki „po cichu” (CVE-2026-20841)

Wprowadzenie do problemu / definicja luki

Microsoft załatał podatność typu Remote Code Execution (RCE) w nowoczesnym Notatniku Windows 11, związaną z obsługą Markdown. Luka polegała na tym, że po otwarciu pliku .md w trybie Markdown i kliknięciu spreparowanego odnośnika, Notatnik mógł uruchomić wskazany program lub zasób bez typowych ostrzeżeń bezpieczeństwa Windows.

W skrócie

  • Identyfikator: CVE-2026-20841 (Windows Notepad App).
  • Klasa błędu: Microsoft/NVD opisują to jako command injection / niewłaściwe neutralizowanie elementów specjalnych w poleceniu (CWE-77).
  • Wektor ataku wg NVD: AV:N/AC:L/PR:N/UI:R — wymagane jest działanie użytkownika (kliknięcie).
  • Praktyka ataku: linki Markdown mogły wskazywać m.in. na file:// (lokalne pliki wykonywalne) lub nietypowe URI (np. ms-appinstaller://).
  • Microsoft wdrożył poprawkę w ramach aktualizacji z lutego 2026 (Patch Tuesday).

Kontekst / historia / powiązania

Źródłem problemu była „modernizacja” Notatnika w Windows 11: aplikacja przestała być wyłącznie prostym edytorem tekstu i zyskała m.in. renderowanie Markdown oraz klikalne linki.
W szerszym obrazie to kolejny przykład, jak „pozornie niewinne” funkcje (renderowanie, podgląd, linki, protokoły) potrafią stworzyć nowe ścieżki ataku w aplikacjach, które użytkownicy traktują jako „bezpieczne z definicji”.

Analiza techniczna / szczegóły luki

Jak działał scenariusz nadużycia

  1. Atakujący dostarczał ofierze plik .md (np. przez phishing, załącznik, komunikator, repozytorium, share).
  2. Ofiara otwierała plik w Notatniku i przełączała/korzystała z widoku Markdown, gdzie link stawał się interaktywny.
  3. Po Ctrl+klik w link (tak opisały testy), Notatnik wywoływał obsługę „niezweryfikowanych” protokołów/URI i mógł doprowadzić do uruchomienia programu lub pobrania/wykonania zasobu zdalnego — bez oczekiwanego ostrzeżenia.

Co było szczególnie niebezpieczne

  • Możliwość wskazania plików wykonywalnych przez file:// lub użycia protokołów systemowych/instalacyjnych.
  • Potencjalny wariant z zdalnymi udziałami SMB, gdzie kliknięcie prowadziłoby do wykonania pliku z zasobu sieciowego bez typowego „tarcia” po stronie systemu.
  • Wykonanie następowało w kontekście uprawnień użytkownika (czyli dokładnie tyle, ile ma ofiara).

Co zmieniła poprawka

Według testów opisywanych przez BleepingComputer, Notatnik po poprawce zaczął wyświetlać ostrzeżenia dla linków niebędących http:// lub https://. Dotyczy to m.in. file:, ms-settings:, ms-appinstaller:, mailto:, ms-search:.

Praktyczne konsekwencje / ryzyko

To nie jest klasyczny „drive-by exploit” — nadal potrzebna jest interakcja użytkownika. Ale w praktyce:

  • Plik tekstowy/Markdown ma niski „próg podejrzaności” (ludzie chętnie go otwierają, żeby sprawdzić co jest w środku).
  • Link może wyglądać jak niewinny odnośnik typu „Otwórz logi” / „Instrukcja” / „Kliknij, aby naprawić”.
  • W środowiskach firmowych taka luka pasuje do łańcuchów ataku: phishing → dropper → kliknięcie → uruchomienie payloadu (zwłaszcza gdy atakujący ma już coś na dysku lub na udziale SMB).

Rekomendacje operacyjne / co zrobić teraz

  1. Zaktualizuj Notatnik (Windows 11) — aplikacja zwykle aktualizuje się przez Microsoft Store, ale w organizacjach bywa to kontrolowane politykami. Upewnij się, że urządzenia nie są „zatrzymane” na starszych wersjach.
  2. Zablokuj/ogranicz nietypowe protokoły tam, gdzie to możliwe (np. politykami aplikacyjnymi/ASR, kontrolą protokołów, hardeningiem środowiska).
  3. Traktuj pliki .md jak dokumenty aktywne, jeśli pochodzą z zewnątrz: sandbox, podgląd bez klikania, skan AV/EDR, izolacja.
  4. Edukacja użytkowników: „Nie klikaj linków w plikach tekstowych/Markdown z maila/Teams/Slack, jeśli nie znasz źródła”.
  5. Monitoring: poluj na anomalie typu uruchomienia procesu pochodzące z Notatnika (np. notepad.execmd.exe, powershell.exe, instalatory, binarki z udziałów sieciowych).

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • To nie jest błąd w stylu „makr Office” — mechanizm jest prostszy, ale bazuje na podobnym założeniu: użytkownik ufa formatowi pliku i klika element interaktywny.
  • Warto też odróżnić „Notepad” od „Notepad++”: The Register zwraca uwagę na bliskość czasową dyskusji o problemach bezpieczeństwa w ekosystemie edytorów tekstu, ale są to różne produkty i różne wektory.

Podsumowanie / kluczowe wnioski

CVE-2026-20841 pokazuje klasyczny problem „rozszerzania prostych narzędzi”: gdy aplikacja do czytania tekstu zaczyna renderować treści i obsługiwać wiele protokołów, rośnie powierzchnia ataku. Luka w Notatniku Windows 11 umożliwiała uruchamianie plików (lokalnych lub zdalnych) po kliknięciu linku Markdown bez oczekiwanych ostrzeżeń, a poprawka dodaje dodatkowe monity dla nie-HTTP(S) URI. Najważniejsze działania to: aktualizacja, hardening protokołów/URI, procedury dla plików Markdown z zewnątrz i telemetria procesów potomnych z Notatnika.

Źródła / bibliografia

  • BleepingComputer — opis podatności i zachowania „bez ostrzeżeń”, przykłady URI oraz informacja o poprawce (ostrzeżenia dla nie-HTTP/S). (BleepingComputer)
  • NVD (NIST) — klasyfikacja, CVSS v3.1 vector oraz powiązanie z CWE-77 i odnośnik do MSRC. (NVD)
  • Rapid7 — kontekst Patch Tuesday (luty 2026) i przegląd podatności z tego wydania. (Rapid7)
  • The Register — szerszy kontekst i komentarz do „Markdown w Notatniku” oraz dyskusji o ryzykach w edytorach. (The Register)