CVE-2019-0863

Суть уязвимости

Уязвимость в компоненте Windows Error Reporting (WER) позволяет локальному злолоумышленнику с низкими привилегиями выполнить произвольный код в режиме ядра (kernel mode) из-за неправильной обработки файлов. Это приводит к полному захвату контроля над системой.

Как исправить

Установите официальное обновление безопасности от Microsoft. Для разных версий Windows требуются следующие патчи:

• Windows 10 версии 1809: Установите обновление KB4493509.
• Windows Server 2019: Установите обновление KB4493509.
• Windows 10 версии 1803: Установите обновление KB4493464.
• Windows Server версии 1803: Установите обновление KB4493464.
• Windows 10 версии 1709: Установите обновление KB4493441.

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Установите все найденные обновления, особенно указанные выше. 4. Перезагрузите систему.

Для автоматизации в доменной среде используйте WSUS или групповые политики.

Временное решение

Если немедленная установка обновления невозможна, ограничьте локальный доступ к системе и отключите проблемный компонент.

1. Ограничьте локальный доступ: Минимизируйте количество пользователей с правами локального входа на уязвимые серверы и рабочие станции.
2. Отключите службу Windows Error Reporting (через групповую политику):
   • Откройте редактор групповых политик (gpedit.msc).
   • Перейдите по пути: Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Windows Error Reporting.
   • Найдите и включите политику "Отключить отчеты об ошибках Windows".
   • Примените политику и выполните gpupdate /force в командной строке с правами администратора.

# Альтернативно, для отключения службы через PowerShell (требует прав администратора):
Stop-Service -Name "WerSvc" -Force
Set-Service -Name "WerSvc" -StartupType Disabled

Важно: Отключение WER может затруднить диагностику системных сбоев и проблем с приложениями. Это решение следует рассматривать как временную меру до установки патча.