CVE-2010-0232

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-03

Официальное описание

The kernel in Microsoft Windows, when access to 16-bit applications is enabled on a 32-bit x86 platform, does not properly validate certain BIOS calls, which allows local users to gain privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в ядре Microsoft Windows на 32-битных (x86) системах, когда включена поддержка 16-битных приложений. Ядро некорректно проверяет определённые вызовы BIOS, что позволяет локальному пользователю выполнить произвольный код с повышенными привилегиями (правами SYSTEM).

Вектор атаки: Злоумышленник, имеющий доступ к системе под учётной записью обычного пользователя, может запустить специально созданное 16-битное приложение, которое через некорректный вызов BIOS позволит получить полный контроль над системой.

Как исправить

Установите официальное обновление безопасности от Microsoft.

  • Для Windows 7 и Windows Server 2008 R2: Установите обновление MS10-021. Конкретный номер бюллетеня для вашей системы зависит от её версии и разрядности. Найдите и установите соответствующий пакет через Центр обновления Windows или вручную из каталога Microsoft Update.
  • Для Windows Vista, Windows Server 2008, Windows XP, Windows Server 2003: Установите соответствующее обновление из бюллетеня MS10-021. Для автоматической установки включите и запустите Центр обновления Windows.

Проверка установки: После установки обновлений и перезагрузки проверьте историю обновлений в Панели управления. Убедитесь, что установлены обновления за апрель 2010 года (MS10-021).

Временное решение

Если немедленная установка обновления невозможна, отключите подсистему поддержки 16-битных приложений (NTVDM). Это предотвратит эксплуатацию уязвимости.

  1. Отключите 16-битную поддержку через реестр (требуются права администратора и перезагрузка):

    • Откройте редактор реестра (regedit).
    • Перейдите к разделу: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\WOW
    • Найдите или создайте параметр DWORD (32 бита) с именем DisallowedPolicyDefault.
    • Установите его значение равным 1.
    • Перезагрузите систему.

  2. Ограничение через групповые политики (в доменной среде):

    • Откройте редактор управления групповыми политиками (GPMC).
    • Создайте или отредактируйте объект групповой политики (GPO), применяемый к нужным компьютерам.
    • Перейдите по пути: Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Совместимость приложений.
    • Включите политику "Запретить доступ к 16-битным приложениям".
    • Примените политику и выполните gpupdate /force на целевых машинах.

Важно: Эти меры отключат возможность запуска всех 16-битных приложений. Убедитесь, что в вашей среде нет критичных legacy-программ, требующих этой функциональности. После установки официального патча данные ограничения можно снять.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей