CVE-2012-0151

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-06-08

Официальное описание

The Authenticode Signature Verification function in Microsoft Windows (WinVerifyTrust) does not properly validate the digest of a signed portable executable (PE) file, which allows user-assisted remote attackers to execute code.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2012-0151 — это критическая уязвимость в функции WinVerifyTrust, отвечающей за проверку подписей Authenticode в операционных системах Windows. Проблема заключается в некорректной валидации дайджеста (хеша) подписанного переносимого исполняемого файла (PE).

Злоумышленник может модифицировать легитимный подписанный файл, добавив в него вредоносный код таким образом, что функция проверки подписи не заметит изменений. В результате система сообщает пользователю, что файл является доверенным и подписан легитимным издателем, хотя его содержимое было изменено. Это позволяет обходить механизмы безопасности, такие как AppLocker или политики ограничения программного обеспечения (SRP), и выполнять произвольный код.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft (бюллетень MS12-024).

  1. Для автоматического обновления используйте Центр обновления Windows (Windows Update).

  2. Для ручной установки или развертывания через WSUS/SCCM необходимо скачать пакеты обновления для соответствующих версий ОС:

  3. Windows XP (SP3)
  4. Windows Vista (SP2)
  5. Windows 7 (SP1)

  6. Windows Server 2003 / 2008 / 2008 R2

  7. Проверка версии файла Wintrust.dll после установки патча (версия должна быть не ниже указанных в бюллетене MS12-024 для конкретной ОС):

(Get-Item C:\Windows\System32\wintrust.dll).VersionInfo.FileVersion

Временные меры

Если немедленная установка обновлений невозможна, рекомендуется принять следующие меры для снижения риска:

  1. Применение принципа наименьших привилегий: работа под учетной записью пользователя без прав администратора ограничивает возможности выполнения вредоносного кода в системе.

  2. Настройка политик безопасности для блокировки запуска неподписанных или подозрительных файлов из недоверенных источников (интернет, почтовые вложения).

  3. Использование средств защиты конечных точек (EDR/AV) с актуальными базами сигнатур для обнаружения аномального поведения PE-файлов.

  4. Ограничение прав доступа к критическим системным директориям, чтобы предотвратить подмену легитимных исполняемых файлов.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей