CVE-2015-1769

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-05-25

Официальное описание

A privilege escalation vulnerability exists when the Windows Mount Manager component improperly processes symbolic links.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2015-1769 представляет собой уязвимость повышения привилегий (Privilege Escalation) в компоненте Windows Mount Manager. Проблема возникает из-за некорректной обработки символических ссылок (symbolic links) при монтировании устройств.

Злоумышленник, имеющий локальный доступ к системе, может вставить специально подготовленный USB-накопитель или использовать вредоносное ПО для создания манипулируемых объектов в диспетчере монтирования. Это позволяет выполнить произвольный код с правами системы (SYSTEM), полностью скомпрометировав целевой узел. Уязвимость актуальна для широкого спектра ОС: от Windows Vista до Windows 8.1 и соответствующих серверных редакций.

Как исправить

Основным и единственным надежным способом устранения данной уязвимости является установка официального обновления безопасности от Microsoft (MS15-085).

  1. Запустите поиск и установку обновлений через Центр обновления Windows (Windows Update).
  2. Если автоматическое обновление невозможно, скачайте пакет исправления вручную из Каталога Центра обновления Майкрософт для вашей версии ОС.

Для проверки наличия установленного исправления в системе выполните команду:

get-hotfix -id KB3082459

(Примечание: Номер KB может варьироваться в зависимости от версии ОС, основным для большинства систем является KB3082459).

Временные меры

Если немедленная установка патча невозможна, необходимо ограничить векторы атаки, связанные с использованием съемных носителей и созданием символических ссылок.

  1. Ограничьте использование USB-накопителей через групповые политики (GPO): Конфигурация компьютера -> Административные шаблоны -> Система -> Доступ к съемным запоминающим устройствам -> Съемные диски: Запретить чтение/запись.

  2. Настройте аудит доступа к объектам, чтобы отслеживать подозрительную активность в диспетчере монтирования.

  3. Используйте AppLocker или Device Guard для предотвращения запуска неавторизованного кода с внешних носителей.

  4. Для серверов, где физический доступ ограничен, убедитесь, что пользователям запрещено монтировать произвольные тома. Проверьте права на создание символических ссылок:

secpol.msc

(Перейдите в: Локальные политики -> Назначение прав пользователя -> Создание символических ссылок. Убедитесь, что в списке только доверенные администраторы).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей