CVE-2017-0001
Microsoft Graphics Device Interface (GDI)
2022-03-03
The Graphics Device Interface (GDI) in Microsoft Windows Vista SP2; Windows Server 2008 SP2 and R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Gold and R2; Windows RT 8.1; and Windows 10 Gold, 1511, and 1607 allows local users to gain privileges
Технический анализ и план устранения
Суть уязвимости
Уязвимость в компоненте GDI (Graphics Device Interface) позволяет локальному пользователю с низкими привилегиями выполнить специально созданное приложение. При успешной эксплуатации злоумышленник может повысить свои привилегии в системе до уровня SYSTEM и получить полный контроль над ней.
Как исправить
Установите официальный патч от Microsoft. Номер бюллетеня безопасности — MS17-017.
Конкретные обновления (KB номера) для каждой ОС: * Windows 10 для 32-разрядных систем: KB4012606 * Windows 10 для 64-разрядных систем: KB4012606 * Windows 10 версии 1511 для 32-разрядных систем: KB4013198 * Windows 10 версии 1511 для 64-разрядных систем: KB4013198 * Windows 10 версии 1607 для 32-разрядных систем: KB4013429 * Windows 10 версии 1607 для 64-разрядных систем: KB4013429 * Windows 7 для 32-разрядных систем с пакетом обновления 1 (SP1): KB4012212 * Windows 7 для 64-разрядных систем с пакетом обновления 1 (SP1): KB4012212 * Windows 8.1 для 32-разрядных систем: KB4012213 * Windows 8.1 для 64-разрядных систем: KB4012213 * Windows Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1): KB4012212 * Windows Server 2012: KB4012214 * Windows Server 2012 R2: KB4012213
Установка через PowerShell (от имени администратора):
# Сначала найдите точное название обновления для вашей системы
Get-HotFix -Id KB4012606, KB4013198, KB4013429, KB4012212, KB4012213, KB4012214 | Format-Table -AutoSize
# Если обновление не установлено, установите его через Центр обновления Windows или WSUS.
# Для принудительной проверки и установки:
wuauclt /detectnow /updatenow
Временное решение
Прямого временного решения (workaround) не существует. Патч обязателен к установке.
Меры для снижения риска до установки обновления: 1. Ограничьте локальный доступ. Минимизируйте количество пользователей с правами локального входа на уязвимые серверы. 2. Примените принцип наименьших привилегий. Убедитесь, что все пользовательские учетные записи работают с минимально необходимыми правами. 3. Контролируйте выполнение кода. Используйте политики ограниченного использования программ (AppLocker) или аналогичные решения, чтобы заблокировать выполнение неподписанных или нетипичных приложений. 4. Изолируйте критичные системы. Уязвимые системы, для которых установка патча невозможна в краткосрочной перспективе, должны быть изолированы в отдельном сетевом сегменте с строгим контролем доступа.