CVE-2016-7255

Microsoft Win32k

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Win32k kernel-mode driver fails to properly handle objects in memory which allows for privilege escalation. Successful exploitation allows an attacker to run code in kernel mode.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в драйвере ядра Win32k (win32k.sys) позволяет локальному пользователю с низкими привилегиями выполнить специально созданное приложение. Это приложение манипулирует объектами в памяти таким образом, что приводит к повреждению памяти ядра. В результате злоумышленник может получить права уровня ядра (SYSTEM) и выполнить произвольный код.

Как исправить

Установите официальное обновление безопасности от Microsoft. Для разных версий Windows требуются разные пакеты обновлений (KB):

  • Windows 10 (1607), Windows Server 2016: Установите накопительное обновление KB3200970 или более позднее.
  • Windows 8.1, Windows Server 2012 R2: Установите накопительное обновление KB3205401 или более позднее.
  • Windows 7 SP1, Windows Server 2008 R2 SP1: Установите накопительное обновление KB3207752 или более позднее.

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите Проверка наличия обновлений. 3. Убедитесь, что установлены указанные выше обновления. Если нет — установите их. 4. Перезагрузите систему.

Для автоматической проверки в PowerShell (с правами администратора) можно использовать:

Get-HotFix | Where-Object {$_.HotFixID -match "KB3200970|KB3205401|KB3207752"}

Если команда не возвращает результат — обновление не установлено.

Временное решение

Прямого временного решения (workaround) от Microsoft не выпущено. Если немедленная установка патча невозможна, примите следующие меры для снижения риска:

  1. Ограничение локального доступа: Минимизируйте количество пользователей, имеющих право локального входа на критически важные серверы.
  2. Принцип наименьших привилегий: Убедитесь, что все пользовательские учетные записи работают с минимально необходимыми правами. Никто, кроме администраторов, не должен входить в группу "Пользователи с правами администратора" или "Администраторы".
  3. Контроль учетных записей (UAC): Убедитесь, что UAC включен и работает в режиме по умолчанию (не ниже). Это не блокирует эксплуатацию, но усложняет ее.
  4. Мониторинг и обнаружение: Настройте SIEM или антивирусное ПО на обнаружение подозрительной активности, связанной с попытками повышения привилегий (например, создание процессов от имени SYSTEM несистемными службами). Используйте аудит безопасности для отслеживания событий входа и использования привилегий.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей