CVE-2016-0167

Microsoft Win32k

ВЕРОЯТНОСТЬ 6.1%
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Win32k contains an unspecified vulnerability that allows for privilege escalation via a crafted application

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в компоненте ядра Windows Win32k.sys (CVE-2016-0167) позволяет локальному злоумышленнику повысить свои привилегии в системе.

  • Механизм атаки: Злоумышленник, имеющий доступ к системе с правами обычного пользователя, запускает специально созданное вредоносное приложение.
  • Результат: Это приложение, используя ошибку в обработке объектов ядра Win32k, может выполнить произвольный код в контексте ядра.
  • Итог: Получение полного контроля над системой (права SYSTEM или NT AUTHORITY\SYSTEM).

Как исправить

Установите официальный патч безопасности от Microsoft. Конкретный пакет обновления зависит от вашей версии Windows.

  1. Определите версию ОС: Откройте командную строку и выполните: bash systeminfo | findstr /B /C:"OS Name" /C:"OS Version"

  2. Установите соответствующее обновление:

    • Windows 10 (RTM, 1511): Установите накопительное обновление от 12 апреля 2016 г. (например, KB3147458).
    • Windows 8.1 / Windows Server 2012 R2: Установите накопительное обновление от 12 апреля 2016 г. (например, KB3147458).
    • Windows 7 SP1 / Windows Server 2008 R2 SP1: Установите накопительное обновление от 12 апреля 2016 г. (например, KB3147458).

    Самый надежный способ: Включите Автоматическое обновление Windows или установите последние накопительные обновления через Центр обновления Windows.

Временное решение

Если немедленная установка патча невозможна, примените следующие ограничивающие меры:

  • Ограничение прав пользователей: Сведите к минимуму количество учетных записей с правами локального администратора. Все повседневные задачи должны выполняться под учетными записями с обычными правами.
  • Блокировка выполнения приложений: Используйте Политики ограниченного использования программ (AppLocker) или Software Restriction Policies для запрета запуска неподписанных или недоверенных исполняемых файлов в критически важных сегментах сети.
  • Пример правила AppLocker (для тестирования в изолированной среде):
    • Создайте правило, разрешающее запуск только исполняемых файлов из C:\Program Files\, C:\Windows\ и запрещающее запуск из C:\Users\.
  • Контроль учетных записей пользователей (UAC): Убедитесь, что UAC включен и настроен на максимальный уровень уведомлений (по умолчанию). Это не блокирует эксплуатацию, но усложняет ее.
  • Сегментация сети: Изолируйте рабочие станции пользователей от критических серверов. Принцип минимальных привилегий должен применяться и на сетевом уровне.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей