CVE-2010-4398

Microsoft Windows

ВЕРОЯТНОСТЬ 6.4%
Дата обнаружения

2022-03-28

Официальное описание

Stack-based buffer overflow in the RtlQueryRegistryValues function in win32k.sys in Microsoft Windows allows local users to gain privileges, and bypass the User Account Control (UAC) feature.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2010-4398) — это переполнение буфера в функции RtlQueryRegistryValues драйвера ядра win32k.sys. Злоумышленник с локальным доступом к системе (например, учетной записью обычного пользователя) может запустить специально созданное вредоносное приложение. Это приложение вызовет переполнение стека, что позволит выполнить произвольный код с привилегиями ядра. В результате злоумышленник получит полный контроль над системой (права SYSTEM) и обойдет защиту Контроля учетных записей (UAC).

Как исправить

Установите официальный патч от Microsoft. Конкретный номер обновления зависит от версии вашей ОС Windows:

  • Windows 7 и Windows Server 2008 R2: Установите обновление безопасности MS11-011 (KB2393802).
  • Windows Vista и Windows Server 2008: Установите обновление безопасности MS11-011 (KB2393802).
  • Windows XP и Windows Server 2003: Данные версии также были уязвимы. Установите последний накопительный пакет обновления безопасности для своей версии, выпущенный после февраля 2011 года.

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка обновлений". 3. Убедитесь, что установлены все важные обновления, особенно указанные выше. 4. Для проверки установленного патча в командной строке выполните:

wmic qfe list | findstr "2393802"

(Если обновление установлено, команда вернет его номер).

Временное решение

Если немедленная установка обновления невозможна, примените следующие ограничивающие меры:

  1. Строгая политика учетных записей:

    • Обеспечьте, чтобы все пользователи работали под учетными записями с минимально необходимыми привилегиями (стандартные пользователи, не администраторы).
    • Максимально ограничьте круг лиц, имеющих физический или удаленный интерактивный доступ (RDP) к уязвимым серверам.

  2. Аудит и мониторинг:

    • Включите аудит успешных и неуспешных попыток входа в систему (Политика безопасности: Аудит событий входа).
    • Настройте мониторинг событий создания процессов (например, через Sysmon или Windows Event Log) с алертами на подозрительную активность от обычных пользователей.

  3. Сетевые ограничения (для серверов):

    • Настройте групповые политики или брандмауэр, чтобы запретить интерактивный вход (RDP, SMB) для всех пользователей, кроме строго необходимого административного пула.
    • Изолируйте уязвимые системы в отдельном сегменте сети.

Важно: Эти меры не устраняют уязвимость, а лишь усложняют ее эксплуатацию. Установка патча обязательна.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей