CVE-2019-0797

Microsoft Win32k

ВЕРОЯТНОСТЬ 6.2%
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Win32k contains a privilege escalation vulnerability when the Win32k component fails to properly handle objects in memory. Successful exploitation allows an attacker to execute code in kernel mode.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в компоненте Win32k Windows позволяет локальному злоумышленнику повысить привилегии. Это происходит из-за некорректной обработки объектов в памяти ядром системы. В результате атакующий, имеющий доступ к системе с правами обычного пользователя, может выполнить произвольный код с правами ядра (уровень SYSTEM), что приведет к полному контролю над системой.

Как исправить

Установите официальное обновление безопасности от Microsoft. Для разных версий Windows требуются следующие патчи:

  • Windows 10 версии 1809: Установите обновление KB4493509.
  • Windows 10 версии 1803: Установите обновление KB4493464.
  • Windows 10 версии 1709: Установите обновление KB4493441.
  • Windows 10 версии 1703: Установите обновление KB4493451.
  • Windows 10 версии 1607 и Windows Server 2016: Установите обновление KB4493470.
  • Windows 8.1 и Windows Server 2012 R2: Установите обновление KB4493446 (ежемесячный накопительный пакет обновлений).

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Убедитесь, что указанные выше обновления установлены. Если нет, установите их и перезагрузите систему.

Для автоматизации в доменной среде используйте WSUS или System Center Configuration Manager (SCCM) для развертывания этих обновлений.

Временное решение

Если немедленная установка обновления невозможна, примените следующие меры для снижения риска:

  1. Ограничьте локальный доступ. Минимизируйте количество пользователей, имеющих локальные учетные записи на критически важных серверах и рабочих станциях.
  2. Примените принцип наименьших привилегий. Убедитесь, что все пользователи работают с минимально необходимыми для их задач правами. Запретите использование учетных записей с правами администратора для повседневной работы.
  3. Контроль учетных записей (UAC). Убедитесь, что UAC включен и настроен на максимальный уровень уведомлений (по умолчанию). Это не блокирует эксплуатацию, но усложнит ее.
  4. Мониторинг и аудит. Включите детальный аудит событий безопасности и мониторинг процессов, особенно тех, которые пытаются получить высокие привилегии. Используйте SIEM-систему для анализа событий (например, Event ID 4688 с деталями нового процесса).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей