CVE-2018-8406

Microsoft DirectX Graphics Kernel (DXGKRNL)

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-28

Официальное описание

An elevation of privilege vulnerability exists when the DirectX Graphics Kernel (DXGKRNL) driver improperly handles objects in memory.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2018-8406 — это ошибка в драйвере ядра графики DirectX (DXGKRNL), которая позволяет локальному пользователю с низкими привилегиями повысить свои права до уровня SYSTEM. Злоумышленник, уже имеющий доступ к системе, может запустить специально созданное приложение, которое эксплуатирует неправильную обработку объектов в памяти драйвером. Это дает ему полный контроль над системой.

Как исправить

Установите официальный патч безопасности от Microsoft. Уязвимость исправлена в следующих ежемесячных накопительных обновлениях:

  • Для Windows 10 версии 1803 (April 2018 Update): Установите обновление KB4345421 (выпущено 14 августа 2018 г.) или любое более позднее ежемесячное накопительное обновление.
  • Для Windows Server 2016: Установите обновление KB4345420 (выпущено 14 августа 2018 г.) или любое более позднее ежемесячное накопительное обновление.

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите Проверить наличие обновлений. 3. Установите все найденные обновления, особенно те, что помечены как "качественные" или "безопасность". 4. Перезагрузите систему.

Альтернативный способ (PowerShell с правами администратора):

Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -AcceptAll -Install -AutoReboot

Временное решение

Если немедленная установка обновления невозможна, примените следующие меры:

  1. Ограничение локального доступа: Минимизируйте количество пользователей с правами локального входа на уязвимые системы, особенно на серверы.
  2. Принцип наименьших привилегий: Убедитесь, что все пользовательские учетные записи работают с минимально необходимыми правами. Никто, кроме администраторов, не должен входить в группу "Локальные администраторы".
  3. Контроль учетных записей (UAC): Убедитесь, что UAC включен и работает на уровне по умолчанию ("Всегда уведомлять" или ниже). Это не блокирует эксплуатацию, но усложняет ее.
  4. Аудит и мониторинг: Включите аудит успешных и неудачных попыток входа в систему и мониторинг процессов. Ищите аномальную активность, связанную с запуском процессов от имени SYSTEM несистемными службами.
    • Команда для включения аудита (командная строка с правами администратора): cmd auditpol /set /subcategory:"Logon" /success:enable /failure:enable auditpol /set /subcategory:"Process Creation" /success:enable
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей