CVE-2018-8414

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-25

Официальное описание

A remote code execution vulnerability exists when the Windows Shell does not properly validate file paths.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2018-8414) позволяет выполнить произвольный код с правами текущего пользователя. Злоумышленник может использовать ее, заставив пользователя открыть специально созданный файл ярлыка (.lnk) или файл со ссылкой, который указывает на неверно сформированный путь. Ошибка в проверке этого пути в оболочке Windows приводит к выполнению вредоносного кода.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный номер обновления зависит от версии вашей ОС Windows:

  • Windows 10 версии 1803: Установите обновление KB4462933 (OS Build 17134.407) или более позднее.
  • Windows 10 версии 1709: Установите обновление KB4462941 (OS Build 16299.785) или более позднее.
  • Windows 10 версии 1703: Установите обновление KB4462939 (OS Build 15063.1358) или более позднее.
  • Windows 10 версии 1607: Установите обновление KB4462922 (OS Build 14393.2608) или более позднее.
  • Windows 8.1 / Windows Server 2012 R2: Установите обновление KB4462949 (ежемесячный накопительный пакет обновлений за октябрь 2018 г.) или более позднее.
  • Windows 7 SP1 / Windows Server 2008 R2 SP1: Установите обновление KB4462923 (ежемесячный накопительный пакет обновлений за октябрь 2018 г.) или более позднее.

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Установите все найденные критические и важные обновления. 4. Перезагрузите систему.

Альтернативно (PowerShell с правами администратора):

Install-Module -Name PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временное решение

Если немедленная установка обновлений невозможна, примените следующие меры:

  1. Отключите отображение значков для ярлыков: Это предотвратит автоматический парсинг иконок из файлов .lnk, который может быть вектором атаки. Создайте и примените следующий .reg-файл: registry Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler] @="{00021401-0000-0000-C000-000000000046}" [-HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler] После применения потребуется перезагрузка. Для отмены импортируйте файл с обратными значениями.

  2. Ограничьте доступ к сетевым ресурсам: Заблокируйте на межсетевом экране исходящие подключения к недоверенным SMB-серверам (порты 139, 445), так как путь в ярлыке может ссылаться на сетевой ресурс.

  3. Повышайте осведомленность пользователей: Предупредите сотрудников об опасности открытия файлов ярлыков (.lnk) и файлов со ссылками из непроверенных источников (электронная почта, веб-сайты, съемные носители).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей