CVE-2016-0151

Microsoft Client-Server Run-time Subsystem (CSRSS)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-28

Официальное описание

The Client-Server Run-time Subsystem (CSRSS) in Microsoft mismanages process tokens, which allows local users to gain privileges via a crafted application.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в подсистеме CSRSS Windows позволяет локальному пользователю с низкими привилегиями повысить их до уровня SYSTEM. Для этого злоумышленник должен запустить на целевой системе специально созданное вредоносное приложение, которое эксплуатирует ошибку в управлении токенами процессов.

Как исправить

Установите официальный патч от Microsoft. Обновление распространяется через Центр обновления Windows.

  • Для Windows 10: Установите накопительное обновление за апрель 2016 года или более позднее. Конкретный номер обновления зависит от сборки ОС. Проверьте в Центре обновления.
  • Для Windows 8.1 и Windows Server 2012 R2: Установите обновление MS16-050 (май 2016). Номер пакета обновления (KB): KB3153171.
  • Для Windows 7 и Windows Server 2008 R2: Установите обновление MS16-050 (май 2016). Номер пакета обновления (KB): KB3153171.

Действия: 1. Откройте Центр обновления Windows. 2. Проверьте наличие обновлений. 3. Убедитесь, что установлены все критические обновления, особенно за апрель-май 2016 года. 4. При необходимости установите обновление KB3153171 вручную, загрузив его из Каталога Центра обновления Майкрософт.

Временное решение

Прямых временных решений (например, правил WAF) для этой локальной уязвимости не существует, так как она эксплуатируется через запуск приложения на самой машине.

Рекомендуемые меры до установки патча:

  • Строгое управление учетными записями: Ограничьте количество пользователей с правами локального входа в систему. Используйте принцип наименьших привилегий.
  • Контроль целостности ПО: Используйте политики AppLocker или Software Restriction Policies, чтобы разрешать запуск только доверенных, подписанных приложений из указанных каталогов.
  • Мониторинг: Настройте аудит и мониторинг событий безопасности (например, через Windows Event Log) для отслеживания попыток несанкционированного повышения привилегий или запуска необычных процессов.
  • Изоляция: По возможности, ограничьте физический и логический доступ к уязвимым серверам только для необходимого круга администраторов.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей