CVE-2011-2005

Microsoft Ancillary Function Driver (afd.sys)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-28

Официальное описание

afd.sys in the Ancillary Function Driver in Microsoft Windows does not properly validate user-mode input passed to kernel mode, which allows local users to gain privileges via a crafted application.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в драйвере afd.sys (Ancillary Function Driver) в Microsoft Windows возникает из-за недостаточной проверки данных, передаваемых из пользовательского режима в режим ядра. Это позволяет локальному злоумышленнику выполнить произвольный код с повышенными привилегиями.

  • Механизм атаки: Злоумышленник запускает на целевой системе специально созданное вредоносное приложение.
  • Результат: Приложение использует ошибку проверки ввода в драйвере afd.sys для получения полного контроля (права SYSTEM) над системой.
  • Условия: Для эксплуатации требуется наличие локальной учетной записи на атакуемом компьютере и возможность выполнить код.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный номер обновления зависит от вашей версии ОС:

  • Windows 7 и Windows Server 2008 R2: Установите обновление KB2588516.
  • Windows Vista и Windows Server 2008: Установите обновление KB2588516.
  • Windows XP и Windows Server 2003: Установите обновление KB2588516.

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка обновлений". 3. Убедитесь, что в списке установленных обновлений присутствует KB2588516. Если его нет, установите его вручную, загрузив с сайта Microsoft Update Catalog.

Проверка установки (командная строка):

wmic qfe list | findstr "2588516"

Если обновление установлено, команда вернет строку с его номером.

Временное решение

Если немедленная установка патча невозможна, рассмотрите следующие меры для снижения риска:

  • Ограничение локальных привилегий: Минимизируйте количество пользователей с правами локального администратора. Уязвимость требует выполнения кода на целевой системе.
  • Применение политик блокировки ПО: Используйте AppLocker или Software Restriction Policies, чтобы разрешать запуск только доверенных, подписанных приложений. Это блокирует выполнение "crafted application".
  • Аудит и мониторинг: Включите аудит успешных и неуспешных попыток входа в систему и мониторинг событий, связанных с созданием процессов с высоким уровнем целостности (например, события 4688 в журнале Windows с NewProcessName содержащим afd.sys или необычными родительскими процессами).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей