CVE-2019-0543
Microsoft Windows
2022-03-15
A privilege escalation vulnerability exists when Windows improperly handles authentication requests. An attacker who successfully exploited this vulnerability could run processes in an elevated context.
Технический анализ и план устранения
Суть уязвимости
Уязвимость позволяет злоумышленнику повысить привилегии в системе за счет неправильной обработки запросов аутентификации Windows. Эксплуатация происходит локально: атакующий, имеющий доступ к системе с правами обычного пользователя, может выполнить специально созданное приложение, которое заставит Windows выполнить произвольный код с повышенными правами (например, от имени SYSTEM).
Как исправить
Установите официальное обновление безопасности от Microsoft. Уязвимость устранена в ежемесячных накопительных обновлениях.
- Для Windows 10 версии 1809, Windows Server 2019: Установите обновление KB4480116 (выпущено 8 января 2019 г.) или любое более позднее ежемесячное накопительное обновление.
- Для Windows 10 версии 1803: Установите обновление KB4480966 (выпущено 8 января 2019 г.) или более новое.
- Для других поддерживаемых версий Windows (7, 8.1, Server 2008 R2, 2012, 2012 R2, 2016): Установите соответствующее обновление за январь 2019 года (например, KB4480970 для Windows 7) или любое последующее.
Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Установите все найденные важные и обязательные обновления. 4. Перезагрузите систему.
Альтернативно (через PowerShell с правами администратора):
# Проверить доступные обновления
Get-WindowsUpdate
# Установить все обновления (команда из модуля PSWindowsUpdate)
Install-WindowsUpdate -AcceptAll -AutoReboot
(Для использования PSWindowsUpdate может потребоваться предварительная установка модуля: Install-Module PSWindowsUpdate).
Временное решение
Если немедленная установка обновления невозможна, примите следующие меры для снижения риска:
-
Строгое управление учетными записями:
- Ограничьте использование учетных записей с правами локального администратора. Пользователи должны работать под стандартными учетными записями.
- Реализуйте принцип наименьших привилегий (PoLP) для всех служб и приложений.
-
Контроль доступа к исполняемым файлам:
- Используйте политики ограниченного использования программ (AppLocker) или Software Restriction Policies (SRP), чтобы заблокировать выполнение неподписанных или недоверенных исполняемых файлов из временных каталогов пользователей (например,
%TEMP%,%APPDATA%).
- Используйте политики ограниченного использования программ (AppLocker) или Software Restriction Policies (SRP), чтобы заблокировать выполнение неподписанных или недоверенных исполняемых файлов из временных каталогов пользователей (например,
-
Мониторинг и аудит:
- Включите детальный аудит событий входа в систему и создания процессов (Политика безопасности:
Аудит событий входаиАудит создания процесса). - Настройте сбор и анализ журналов (Event ID 4688, 4689) с помощью SIEM-системы для обнаружения подозрительной активности, связанной с запуском процессов с повышенными привилегиями из-под обычных учетных записей.
- Включите детальный аудит событий входа в систему и создания процессов (Политика безопасности:
-
Сетевая сегментация:
- Ограничьте удаленный доступ к критически важным серверам. Используйте брандмауэры для блокировки ненужных входящих подключений (например, RDP, SMB) с недоверенных сетей.