CVE-2015-0016

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-05-25

Официальное описание

Directory traversal vulnerability in the TS WebProxy (TSWbPrxy) component in Microsoft Windows allows remote attackers to escalate privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2015-0016 (известная как «TWSLODR») представляет собой критическую уязвимость типа Directory Traversal в компоненте TS WebProxy (TSWbPrxy.exe), который является частью служб удаленных рабочих столов (Remote Desktop Services).

Проблема заключается в некорректной проверке путей при загрузке динамических библиотек (DLL). Компонент позволяет передавать путь к файлу через API, не обеспечивая должной санитарной обработки символов обхода директорий (например, \..\). Злоумышленник может использовать это для выполнения произвольного кода с правами системы (System Privilege Escalation), заставив процесс загрузить вредоносную библиотеку из произвольного расположения.

Как исправить

Основным способом устранения уязвимости является установка официального обновления безопасности от Microsoft в рамках бюллетеня MS15-004.

  1. Для автоматической установки воспользуйтесь Центром обновления Windows (Windows Update).
  2. Для ручной установки загрузите пакет обновления, соответствующий вашей версии ОС:
wusa.exe C:\Path\To\Update\Windows8.1-KB3025421-x64.msu /quiet /norestart

Примечание: Номер KB может варьироваться в зависимости от версии ОС (например, KB3020393 для Windows 7).

Временные меры

Если немедленная установка патча невозможна, рекомендуется применить следующие защитные механизмы для снижения риска эксплуатации:

  1. Ограничение прав пользователей: Убедитесь, что обычные пользователи не имеют прав записи в системные директории и критические узлы файловой системы.

  2. Использование AppLocker или Software Restriction Policies (SRP): Настройте правила для блокировки запуска несанкционированных DLL и исполняемых файлов из временных папок (например, %TEMP% или C:\Users\...\AppData).

  3. Включение режима User Account Control (UAC): Установите максимальный уровень уведомлений, чтобы предотвратить несанкционированные попытки повышения привилегий.

Set-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "ConsentPromptBehaviorAdmin" -Value 2
  1. Мониторинг процессов: Настройте аудит создания процессов и загрузки библиотек для обнаружения аномальной активности процесса TSWbPrxy.exe.
auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей