CVE-2013-5065

Суть уязвимости

Уязвимость в драйвере ядра NDProxy.sys (часть NDIS) из-за неправильной проверки входных данных. Локальный злоумышленник с низкими привилегиями может выполнить специально созданный код, чтобы вызвать повышение привилегий и получить права уровня SYSTEM.

Как исправить

Установите официальный патч от Microsoft. Уязвимость устранена в ежемесячных накопительных обновлениях безопасности.

• Для Windows 7 и Windows Server 2008 R2 (x64): Установите обновление KB2916036 (входит в состав ежемесячного накопительного обновления безопасности от декабря 2013 г.).
• Общий порядок действий:
  1. Откройте Панель управления -> Центр обновления Windows.
  2. Нажмите "Проверка наличия обновлений" и установите все важные обновления, особенно за декабрь 2013 года и позже.
  3. Для проверки установленного патча в командной строке выполните: bash wmic qfe list | findstr "2916036"
  4. Перезагрузите систему после установки обновлений.

Временное решение

Если немедленная установка обновлений невозможна, ограничьте локальный доступ к уязвимому драйверу для непривилегированных пользователей.

1. Ограничение прав доступа к NDProxy.sys:

   • Найдите файл драйвера (обычно C:\Windows\System32\drivers\NDProxy.sys).
   • Настройте списки управления доступом (ACL), чтобы запретить выполнение (execute) для групп "Users" или "Everyone". Это можно сделать с помощью icacls или через свойства файла -> "Безопасность".
   • Внимание: Это может нарушить работу легитимных сетевых служб.

2. Минимизация числа локальных пользователей:

   • Проверьте и удалите ненужные локальные учетные записи.
   • Убедитесь, что обычные пользователи не входят в группы с повышенными привилегиями (например, Administrators, Power Users).

3. Приоритизация: Временные меры являются рискованными. Основным и обязательным действием должна оставаться установка официального патча как можно скорее.