CVE-2015-2291

Intel Ethernet Diagnostics Driver for Windows

ВЕРОЯТНОСТЬ 5.0%
Дата обнаружения

2023-02-10

Официальное описание

Intel ethernet diagnostics driver for Windows IQVW32.sys and IQVW64.sys contain an unspecified vulnerability that allows for a denial-of-service (DoS).

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2015-2291 представляет собой критическую уязвимость в драйверах диагностики Intel Ethernet (IQVW32.sys и IQVW64.sys). Проблема заключается в некорректной обработке специально сформированных IOCTL-запросов (Input/Output Control), передаваемых драйверу.

Злоумышленник с низкими привилегиями в системе может отправить такой запрос, что приведет к обращению к невалидному адресу памяти или повреждению структур ядра. Это вызывает немедленный отказ в обслуживании (Denial of Service) через критическую ошибку системы (BSOD — Blue Screen of Death). В некоторых сценариях теоретически возможна эскалация привилегий до уровня ядра (Ring 0).

Как исправить

Основным способом устранения является обновление драйверов сетевого адаптера Intel до версий, выпущенных после марта 2015 года, где данная уязвимость была закрыта.

  1. Определите наличие уязвимых файлов в системе:
Get-ChildItem -Path C:\Windows\System32\drivers -Filter "iqvw*.sys" | Select-Object Name, VersionInfo

  1. Скачайте актуальный пакет драйверов Intel Ethernet Adapter Complete Driver Pack с официального сайта Intel или сайта производителя вашего оборудования (OEM).

  2. Установите обновление. Если вы используете автоматическое обновление через PowerShell (модуль PSWindowsUpdate):

Install-WindowsUpdate -AcceptAll -AutoReboot
  1. После установки убедитесь, что версии файлов IQVW32.sys или IQVW64.sys обновились, либо драйверы диагностики были удалены, если они не требуются для работы сетевого стека.

Временные меры

Если немедленное обновление драйверов невозможно, необходимо ограничить доступ к уязвимым компонентам:

  1. Удаление инструментов диагностики Intel (Intel Network Connections Desktop Optimizer или Intel PROSet Adapter Configuration Utility), которые устанавливают данные драйверы.

  2. Принудительная остановка и отключение службы драйвера (если он зарегистрирован как сервис):

sc stop iqvw64


sc config iqvw64 start= disabled

  1. Изоляция критических систем: ограничьте возможность запуска произвольного кода пользователями на серверах, где установлены данные драйверы, чтобы предотвратить локальную эксплуатацию уязвимости.

  2. Настройка политик контроля приложений (AppLocker или Windows Defender Application Control) для блокировки загрузки драйверов с конкретными хэш-суммами, соответствующими уязвимым версиям IQVW32.sys / IQVW64.sys.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей