CVE-2018-8453

Microsoft Win32k

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-01-21

Официальное описание

Microsoft Windows Win32k contains a vulnerability that allows an attacker to escalate privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в драйвере ядра Win32k (win32kfull.sys, win32kbase.sys) позволяет локальному пользователю с низкими привилегиями выполнить специально созданное приложение. Это приложение манипулирует объектами окон, вызывая состояние гонки (race condition) и ошибку обработки уведомлений. В результате злоумышленник может выполнить произвольный код в контексте ядра, что приводит к полному захвату контроля над системой (повышению привилегий до уровня SYSTEM).

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный номер обновления зависит от вашей версии ОС Windows:

  • Windows 10 версия 1803: Установите обновление KB4462919 (или более позднее из ежемесячного накопительного пакета).
  • Windows 10 версия 1709: Установите обновление KB4462933 (или более позднее из ежемесячного накопительного пакета).
  • Windows 10 версия 1703: Установите обновление KB4462918 (или более позднее из ежемесячного накопительного пакета).
  • Windows 10 версия 1607 и Windows Server 2016: Установите обновление KB4462922 (или более позднее из ежемесячного накопительного пакета).
  • Windows 8.1 и Windows Server 2012 R2: Установите обновление KB4462929 (или более позднее из ежемесячного накопительного пакета).
  • Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 SP1: Установите обновление KB4462923 (или более позднее из ежемесячного накопительного пакета).

Порядок действий: 1. Определите точную версию ОС, выполнив команду: bash systeminfo | findstr /B /C:"OS Name" /C:"OS Version" 2. Загрузите и установите соответствующий пакет обновления (KB) с официального портала Microsoft Update Catalog или через Центр обновления Windows. 3. Перезагрузите систему.

Временное решение

Если немедленная установка обновления невозможна, примените следующие меры для снижения риска:

  1. Ограничьте локальный доступ. Уязвимость требует выполнения кода локальным пользователем. Ужесточите политику учетных записей:

    • Минимизируйте количество пользователей с правами локального входа.
    • Используйте учетные записи с минимальными привилегиями для повседневных задач.
    • Регулярно проверяйте и очищайте список локальных пользователей и групп.

  2. Включите и настройте аудит. Отслеживайте подозрительную активность, связанную с созданием процессов и доступом к критическим системным ресурсам:

    • Включите аудит событий входа (Успех/Неудача) и аудит управления учетными записями.
    • Настройте сбор событий безопасности (Event ID 4688, 4697) и мониторьте журналы на предмет запуска необычных процессов.

  3. Используйте средства защиты от эксплуатации (Exploit Guard). Настройте правила сокращения поверхности атаки (ASR) в Windows Defender:

    • Включите правило "Блокировать выполнение потенциально нежелательных приложений".
    • Активируйте функцию "Контроль целостности кода" для проверки целостности драйверов.

  4. Примените временный микропатч (если доступен). Проверьте наличие микропатча от сторонних поставщиков решений для безопасности (например, 0patch), которые могут закрыть уязвимость до установки официального обновления.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей