CVE-2018-8611

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-05-24

Официальное описание

A privilege escalation vulnerability exists when the Windows kernel fails to properly handle objects in memory.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2018-8611 представляет собой критическую уязвимость повышения привилегий (LPE) в ядре Windows (ntoskrnl.exe). Проблема связана с состоянием гонки (race condition) при обработке объектов в памяти компонентом Kernel Transaction Manager (KTM).

Из-за некорректной синхронизации доступа к объектам транзакций, злоумышленник с низким уровнем прав может вызвать повреждение памяти ядра. Это позволяет выполнить произвольный код в режиме ядра (Kernel Mode), полностью скомпрометировать систему, установить программы, просматривать/изменять данные или создавать новые учетные записи с правами администратора. Уязвимость активно использовалась в целевых атаках (0-day) до выхода патча.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официального обновления безопасности Microsoft от декабря 2018 года.

  1. Автоматическое обновление через Windows Update: Перейдите в Параметры > Обновление и безопасность > Центр обновления Windows и нажмите «Проверить наличие обновлений».

  2. Ручная установка через Microsoft Update Catalog: Необходимо скачать кумулятивный пакет обновления, соответствующий вашей версии ОС (KB4471332, KB4471324 и др.).

  3. Проверка версии билда (PowerShell): Убедитесь, что версия ОС соответствует исправленной или выше.

Get-ItemProperty "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion" | Select-Object ReleaseId, CurrentBuild
  1. Проверка наличия установленного обновления (PowerShell):
Get-HotFix | Where-Object {$_.HotFixID -eq "KB4471332" -or $_.HotFixID -eq "KB4471324"}

Временные меры

Если немедленная установка патча невозможна, рекомендуется принять следующие меры для снижения риска эксплуатации:

  1. Применение принципа наименьших привилегий (PoLP): Ограничьте права пользователей, так как для эксплуатации CVE-2018-8611 злоумышленнику сначала требуется запустить вредоносный код в контексте локального пользователя.

  2. Использование средств защиты конечных точек (EDR/AV): Настройте системы мониторинга на обнаружение аномального поведения процессов и попыток эксплуатации уязвимостей ядра.

  3. Изоляция критических систем: Ограничьте доступ к серверам, на которых не установлены обновления, с помощью межсетевых экранов и сегментации сети.

  4. Контроль запуска приложений (AppLocker / Windows Defender Application Control): Запретите запуск неавторизованных исполняемых файлов и скриптов, чтобы предотвратить доставку эксплойта на целевой узел.

Get-AppLockerPolicy -Effective
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей