CVE-2018-8589

Microsoft Win32k

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-05-23

Официальное описание

A privilege escalation vulnerability exists when Windows improperly handles calls to Win32k.sys. An attacker who successfully exploited this vulnerability could run remote code in the security context of the local system.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в драйвере ядра Win32k.sys позволяет локальному пользователю с низкими привилегиями выполнить специально созданный код, чтобы повысить свои права до уровня SYSTEM. Для эксплуатации злоумышленнику необходим локальный доступ к системе (например, учетная запись пользователя или доступ через другую уязвимость).

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный номер обновления зависит от версии вашей ОС Windows:

  • Windows 10 версии 1809: Установите обновление KB4480116 (или более позднее из ежемесячного накопительного пакета обновлений).
  • Windows 10 версии 1803: Установите обновление KB4480966 (или более позднее).
  • Windows 10 версии 1709: Установите обновление KB4480978 (или более позднее).
  • Windows 8.1 / Windows Server 2012 R2: Установите обновление KB4480963 (или более позднее ежемесячное накопительное обновление).
  • Windows 7 SP1 / Windows Server 2008 R2 SP1: Установите обновление KB4480970 (или более позднее ежемесячное накопительное обновление).

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Установите все предлагаемые обновления, особенно помеченные как "Важные". 4. Перезагрузите систему.

Для автоматизации в доменной среде используйте WSUS или System Center Configuration Manager для развертывания указанных пакетов KB.

Временное решение

Прямого временного решения (workaround) от Microsoft для этой уязвимости не опубликовано. Если немедленная установка обновления невозможна, примите следующие меры для снижения риска:

  1. Строгое управление учетными записями:

    • Сведите к минимуму количество пользователей с локальными правами администратора.
    • Реализуйте принцип наименьших привилегий для всех учетных записей.
    • Регулярно проверяйте и очищайте неиспользуемые учетные записи.

  2. Контроль доступа и мониторинг:

    • Ограничьте физический и удаленный (RDP, WinRM) доступ к критически важным серверам только для необходимых администраторов.
    • Включите аудит успешных и неудачных попыток входа в систему (события 4624, 4625) и мониторьте журналы безопасности на предмет подозрительной активности.
    • Используйте защиту от эксплуатации (Exploit Protection) в Windows Defender. Убедитесь, что включены базовые политики контроля целостности кода (CFG, Arbitrary Code Guard).

  3. Снижение векторов атаки:

    • Убедитесь, что на всех системах установлены и актуальны антивирусные решения с включенной защитой в реальном времени.
    • Рассмотрите возможность использования выделенных рабочих станций администраторов (PAW) для управления серверами.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей