CVE-2019-0808
Microsoft Win32k
2021-11-03
Microsoft Win32k contains a privilege escalation vulnerability due to the component failing to properly handle objects in memory. Successful exploitation allows an attacker to run code in kernel mode.
Технический анализ и план устранения
Суть уязвимости
Уязвимость в драйвере ядра Windows win32k.sys позволяет локальному пользователю с обычными правами выполнить специально созданный код, который приводит к повреждению памяти. В результате злоумышленник может получить права уровня ядра (SYSTEM) и полный контроль над системой.
Как исправить
Установите официальное обновление безопасности от Microsoft. Для разных версий Windows требуются следующие патчи:
- Windows 7 для 32-разрядных систем и Windows Server 2008 R2 для 32-разрядных систем с пакетом обновления 1 (SP1): KB4493472
- Windows 7 для 64-разрядных систем и Windows Server 2008 R2 для 64-разрядных систем с пакетом обновления 1 (SP1): KB4493472
- Windows Server 2008 для 32-разрядных систем с пакетом обновления 2 (SP2): KB4493451
- Windows Server 2008 для 64-разрядных систем с пакетом обновления 2 (SP2): KB4493451
Порядок действий: 1. Определите точную версию и разрядность вашей ОС Windows. 2. Скачайте соответствующий пакет обновления (KB) по ссылке выше или через Центр обновления Windows. 3. Установите обновление и перезагрузите систему.
Временное решение
Если немедленная установка патча невозможна, примените следующие меры:
- Ограничение локального доступа: Минимизируйте количество пользователей, имеющих возможность локального входа на уязвимые серверы и рабочие станции.
- Применение политики блокировки: Используйте Microsoft Enhanced Mitigation Experience Toolkit (EMET) или аналогичные решения для блокировки эксплойтов, использующих эту уязвимость. Настройте правило для
win32k.sys. - Мониторинг и сегментация: Усильте мониторинг событий безопасности (Event ID 4688, 4697) на предмет попыток несанкционированного повышения привилегий. Изолируйте критически важные системы от общих сетевых сегментов.