CVE-2019-0803

Microsoft Win32k

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Win32k contains an unspecified vulnerability due to it failing to properly handle objects in memory causing privilege escalation. Successful exploitation allows an attacker to run code in kernel mode.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в компоненте Win32k.sys (диспетчер окон) ядра Windows позволяет локальному пользователю с низкими привилегиями выполнить специально созданный код для получения прав уровня ядра (SYSTEM). Атакующий может использовать эту уязвимость для полного захвата контроля над системой.

Как исправить

Установите официальное обновление безопасности от Microsoft. Для разных версий Windows требуются следующие патчи:

  • Windows 7 SP1 и Windows Server 2008 R2 SP1: Установите обновление KB4493472 (ежемесячное накопительное обновление за март 2019 г.).
  • Windows Server 2012: Установите обновление KB4493448.
  • Windows 8.1 и Windows Server 2012 R2: Установите обновление KB4493448.
  • Windows 10 версии 1607 и Windows Server 2016: Установите обновление KB4493470.
  • Windows 10 версии 1709: Установите обновление KB4493441.

Способ установки (через PowerShell от имени Администратора):

# Для автоматической установки всех доступных обновлений
Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -AcceptAll -Install -AutoReboot

Или используйте Центр обновления Windows в графическом интерфейсе.

Временное решение

Если немедленная установка обновления невозможна, примените следующие меры:

  1. Ограничьте локальный доступ. Уязвимость требует выполнения кода на целевой машине. Минимизируйте количество пользователей с локальными учетными записями и правами на вход в систему.
  2. Примените правило ASR (Attack Surface Reduction) в Microsoft Defender Exploit Guard. Если используется Windows 10/11 или Windows Server 2016/2019/2022, включите правило "Защита от эксплуатации уязвимостей для сторонних приложений".
    • Через Intune или групповые политики: Computer Configuration > Administrative Templates > Windows Components > Microsoft Defender Antivirus > Microsoft Defender Exploit Guard > Attack Surface Reduction.
    • Активируйте правило "Блокировать создание дочерних процессов офисными приложениями" (GUID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A). Это может помешать некоторым векторам атаки.
  3. Активируйте Control Flow Guard (CFG). Убедитесь, что эта функция защиты включена для всех процессов.
    • Проверка через PowerShell: powershell Get-ProcessMitigation -System
    • В выводе для CFG должно быть значение ON.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей