CVE-2019-0859

Microsoft Win32k

ВЕРОЯТНОСТЬ 9.9%
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Win32k fails to properly handle objects in memory causing privilege escalation. Successful exploitation allows an attacker to run code in kernel mode.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в компоненте Win32k.sys ядра Windows, связанная с неправильной обработкой объектов в памяти. Злоумышленник, уже имеющий возможность выполнить код на целевой системе с низкими привилегиями, может использовать эту уязвимость для эскалации привилегий до уровня ядра (kernel mode). Это позволяет ему получить полный контроль над системой, обойти защиту и выполнить произвольный код.

Как исправить

Установите официальное обновление безопасности от Microsoft. Для разных версий Windows требуются следующие патчи:

  • Windows 10 версии 1903 и Windows Server версии 1903: Установите обновление KB4494441.
  • Windows 10 версии 1809 и Windows Server 2019: Установите обновление KB4493509.
  • Windows 10 версии 1803: Установите обновление KB4493464.
  • Windows 10 версии 1709: Установите обновление KB4493441.
  • Windows 10 версии 1703: Установите обновление KB4493451.
  • Windows 10 версии 1607 и Windows Server 2016: Установите обновление KB4493470.
  • Windows 8.1 и Windows Server 2012 R2: Установите обновление KB4493446.
  • Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 SP1: Установите обновление KB4493472.

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите Проверка наличия обновлений. 3. Установите все найденные обновления, особенно указанные выше. 4. Перезагрузите систему.

Для централизованного управления используйте WSUS или System Center Configuration Manager (SCCM).

Временное решение

Прямого временного решения (workaround) для этой уязвимости не существует. Если установка обновления невозможна в кратчайшие сроки, примите следующие меры для снижения риска:

  1. Ограничьте права пользователей: Убедитесь, что все пользователи работают с минимально необходимыми привилегиями. Это усложнит злоумышленнику получение начального доступа для эксплуатации уязвимости.
  2. Примените принцип сегментации: Изолируйте критически важные системы от общих сетевых сегментов с помощью брандмауэров.
  3. Включите и настройте Exploit Protection (Защита от эксплойтов) в Windows 10/Windows Server 2016+: Это может усложнить эксплуатацию.
    • Откройте Центр безопасности Защитника Windows.
    • Перейдите в Защита от угроз и уязвимостей -> Параметры защиты от эксплойтов.
    • Включите все рекомендуемые параметры, особенно Защита потока управления (CFG) и Блокировка выполнения данных (DEP).
  4. Мониторинг: Усильте мониторинг событий безопасности (Event ID 4688, 4697, Sysmon) на предмет подозрительной активности, связанной с запуском процессов с высокими привилегиями или доступом к системным ресурсам.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей