CVE-2018-0824

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-08-05

Официальное описание

Microsoft COM for Windows contains a deserialization of untrusted data vulnerability that allows for privilege escalation and remote code execution via a specially crafted file or script.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2018-0824 представляет собой критическую уязвимость в компоненте Microsoft COM (Component Object Model), связанную с небезопасной десериализацией данных. Проблема возникает, когда библиотека Microsoft.Management.Infrastructure.Native.dll некорректно обрабатывает входные данные при десериализации объектов.

Злоумышленник может эксплуатировать эту брешь, создав специально подготовленный файл или скрипт. При открытии такого файла системой или приложением происходит выполнение произвольного кода в контексте текущего пользователя. Это позволяет атакующему повысить привилегии в системе или добиться удаленного выполнения кода (RCE), если уязвимый компонент вызывается сетевым сервисом.

Как исправить

Основным и наиболее эффективным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft, выпущенных в мае 2018 года.

  1. Определите версию вашей операционной системы и архитектуру (x86/x64).
  2. Скачайте соответствующий пакет обновления из Каталога Центра обновления Майкрософт (Microsoft Update Catalog) или воспользуйтесь Центром обновления Windows.

Для проверки наличия установленного исправления в PowerShell:

Get-HotFix -Id KB4103727, KB4103725, KB4103718, KB4103721

Примечание: Номер KB зависит от версии ОС (например, KB4103727 для Windows 10 v1709, KB4103718 для Windows 7 SP1).

Для принудительного запуска поиска обновлений:

Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -KBArticleID KB4103727

Временные меры

Если немедленная установка патчей невозможна, необходимо минимизировать векторы атаки:

  1. Ограничьте использование PowerShell Remoting и WinRM в сети, если они не требуются для бизнес-процессов.
Disable-PSRemoting -Force

  1. Настройте политики ограниченного использования программ (AppLocker или Windows Defender Application Control), чтобы запретить выполнение подозрительных скриптов и загрузку недоверенных COM-объектов.

  2. Примените принцип минимальных привилегий (PoLP), исключив работу пользователей под учетными записями локальных администраторов, чтобы ограничить ущерб в случае десериализации вредоносного объекта.

  3. Включите расширенное логирование PowerShell (Script Block Logging), чтобы детектировать попытки эксплуатации.

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1 /f
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей