CVE-2015-6175

Microsoft Windows

ВЕРОЯТНОСТЬ 2.8%
Дата обнаружения

2022-05-25

Официальное описание

The kernel in Microsoft Windows contains a vulnerability that allows local users to gain privileges via a crafted application.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2015-6175 представляет собой уязвимость в ядре Microsoft Windows, связанную с некорректной обработкой объектов в памяти. Проблема классифицируется как Local Privilege Escalation (LPE). Локальный аутентифицированный злоумышленник может запустить специально подготовленное приложение, которое эксплуатирует состояние гонки (race condition) или ошибку проверки параметров в системных вызовах ядра. Это позволяет выполнить произвольный код с правами SYSTEM, полностью скомпрометировав целевую систему.

Как исправить

Основным способом устранения данной уязвимости является установка официального накопительного обновления безопасности от Microsoft (MS15-135).

  1. Для автоматического исправления запустите поиск обновлений через Центр обновления Windows (Windows Update).

  2. Для ручной установки загрузите пакет обновления, соответствующий вашей версии ОС и архитектуре (x86/x64), из Каталога центра обновления Майкрософт.

  3. Проверьте наличие установленного исправления с помощью PowerShell:

Get-HotFix -Id KB3119075

(Примечание: Номер KB может варьироваться в зависимости от версии ОС, например, KB3108347 или KB3109560. Проверьте соответствие по бюллетеню MS15-135).

  1. Перезагрузите систему для завершения процесса патчинга ядра.

Временные меры

Если немедленная установка патчей невозможна, рекомендуется принять следующие меры для снижения риска эксплуатации:

  1. Соблюдение принципа наименьших привилегий (PoLP): Ограничьте права пользователей, не позволяя им запускать недоверенные исполняемые файлы и скрипты.

  2. Настройка политик AppLocker или Software Restriction Policies (SRP): Заблокируйте запуск неизвестных приложений в пользовательских директориях (например, %Temp% или %AppData%).

New-AppLockerPolicy -ExecutionLogOnly -Packages (Get-AppxPackage)

  1. Использование средств защиты конечных точек (EDR/AV): Настройте системы мониторинга на обнаружение аномальных системных вызовов и попыток эксплуатации уязвимостей ядра.

  2. Изоляция критических систем: Минимизируйте количество пользователей, имеющих локальный доступ к серверам, так как уязвимость требует возможности запуска кода непосредственно на целевой машине.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей