CVE-2016-3393

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-05-25

Официальное описание

A remote code execution vulnerability exists due to the way the Windows GDI component handles objects in the memory. An attacker who successfully exploits this vulnerability could take control of the affected system.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2016-3393 представляет собой критическую уязвимость в компоненте Windows Graphics Device Interface (GDI). Проблема заключается в некорректной обработке объектов в памяти при рендеринге специально подготовленных графических данных или шрифтов.

Злоумышленник может эксплуатировать эту брешь, разместив вредоносный файл на веб-странице или отправив его по электронной почте. При открытии такого файла или просмотре страницы через приложение, использующее GDI, происходит переполнение буфера или повреждение памяти, что позволяет выполнить произвольный код (RCE) с правами текущего пользователя. В случае, если пользователь обладает правами администратора, атакующий получает полный контроль над системой.

Как исправить

Основным и рекомендуемым способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft (MS16-120).

  1. Для автоматического исправления запустите поиск обновлений через Центр обновления Windows (Windows Update).

  2. Для ручной установки загрузите соответствующий пакет обновления из Каталога Центра обновления Майкрософт, ориентируясь на версию вашей ОС:

  3. Windows 7 / 8.1 / 10

  4. Windows Server 2008 / 2012 / 2016

  5. Проверка версии файла Gdi32.dll после установки патча (версия должна быть не ниже указанной в бюллетене MS16-120 для конкретной сборки ОС).

Команда для проверки версии файла через PowerShell:

(Get-Item $env:SystemRoot\System32\gdi32.dll).VersionInfo.FileVersion

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие компенсационные меры для снижения поверхности атаки:

  1. Отключите отображение недоверенных шрифтов в приложениях. Это можно сделать через групповые политики (GPO): Computer Configuration -> Administrative Templates -> System -> Mitigation Options -> Untrusted Font Blocking. Установите значение Block untrusted fonts and log events.

  2. Настройте блокировку открытия подозрительных вложений в Outlook и ограничьте просмотр веб-страниц с использованием устаревших браузеров, не поддерживающих современные песочницы (Sandboxing).

  3. Используйте Microsoft Enhanced Mitigation Experience Toolkit (EMET) или функции Windows Defender Exploit Guard для включения принудительного DEP и ASLR для процессов, работающих с графикой.

  4. Ограничьте права пользователей, исключив их из группы локальных администраторов, чтобы минимизировать ущерб в случае успешной эксплуатации.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей