CVE-2011-3402
Microsoft Windows
2025-10-06
Microsoft Windows Kernel contains an unspecified vulnerability in the TrueType font parsing engine in win32k.sys in the kernel-mode drivers that allows remote attackers to execute arbitrary code via crafted font data in a Word document or web page.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2011-3402 (исторически связанная с атаками вредоносного ПО Duqu) находится в подсистеме ядра Microsoft Windows, а именно в драйвере win32k.sys.
Проблема заключается в некорректной работе механизма синтаксического анализа шрифтов TrueType (TTF).
Злоумышленник может создать специально подготовленный шрифт и внедрить его в документ Microsoft Word или на веб-страницу.
Когда пользователь открывает вредоносный документ или заходит на зараженный сайт, ядро ОС пытается обработать этот шрифт.
Из-за ошибки парсинга происходит повреждение памяти, что позволяет злоумышленнику выполнить произвольный код (RCE) с максимальными привилегиями уровня ядра (Ring 0 / SYSTEM).
Это приводит к полной компрометации операционной системы, позволяя атакующему скрытно устанавливать руткиты, красть данные и обходить механизмы защиты.
Как исправить
Главным и единственным надежным способом устранения данной уязвимости является установка официального обновления безопасности от Microsoft, выпущенного в рамках бюллетеня MS11-087. Необходимо обновить операционную систему через Windows Update, WSUS или SCCM. Для проверки наличия установленного патча (например, KB2628513, номер может отличаться в зависимости от версии ОС) выполните команду:
Get-HotFix -Id KB2628513
Для принудительного поиска и установки всех недостающих обновлений безопасности (при использовании модуля PSWindowsUpdate) выполните:
Install-WindowsUpdate -MicrosoftUpdate -AcceptAll -AutoReboot
Временные меры
Если оперативная установка патча невозможна, необходимо применить компенсирующие меры для снижения риска эксплуатации.
Заблокируйте доступ к библиотеке t2embed.dll, которая отвечает за обработку встроенных шрифтов. Это сломает вектор атаки через документы Office.
Сначала получите права владельца на файл библиотеки:
takeown /f "%windir%\system32\t2embed.dll"
Затем запретите любые действия с этим файлом для всех пользователей:
icacls "%windir%\system32\t2embed.dll" /deny Everyone:(F)
Если вы используете 64-битную версию Windows, обязательно повторите эти действия для 32-битной подсистемы:
takeown /f "%windir%\syswow64\t2embed.dll"
icacls "%windir%\syswow64\t2embed.dll" /deny Everyone:(F)
Настройте почтовые клиенты (например, Microsoft Outlook) на отображение всех входящих сообщений в формате обычного текста (Plain Text), чтобы исключить автоматический рендеринг вредоносных шрифтов в HTML-письмах. Убедитесь, что в Microsoft Office активирован и не отключен пользователями режим защищенного просмотра (Protected View) для документов, скачанных из интернета или полученных по электронной почте.