CVE-2019-1064

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-15

Официальное описание

A privilege escalation vulnerability exists when Windows AppXSVC improperly handles hard links. An attacker who successfully exploited this vulnerability could run processes in an elevated context.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в службе AppXSVC (AppX Deployment Service) позволяет злоумышленнику повысить привилегии в системе. Для эксплуатации атакующий, уже имеющий возможность выполнять код с правами обычного пользователя, должен: 1. Создать специально сформированную жесткую ссылку (hard link) на целевой файл. 2. Запустить уязвимую службу, которая, обрабатывая эту ссылку, выполнит произвольный код с повышенными (системными) правами (NT AUTHORITY\SYSTEM).

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный номер обновления зависит от версии Windows:

  • Windows 10 версии 1903: Установите обновление KB4503293.
  • Windows 10 версии 1809: Установите обновление KB4503327.
  • Windows 10 версии 1803: Установите обновление KB4503286.
  • Windows 10 версии 1709: Установите обновление KB4503284.
  • Windows 8.1 / Windows Server 2012 R2: Установите обновление KB4503267.
  • Windows Server 2012: Установите обновление KB4503259.

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Установите все доступные обновления, особенно с пометкой "Важное". 4. Перезагрузите систему.

Для централизованного управления (WSUS, SCCM) импортируйте и утвердите указанные пакеты KB.

Временное решение

Если немедленная установка обновления невозможна, ограничьте права пользователей, чтобы снизить риск успешной атаки с их учетных записей:

  1. Ограничение локальных прав пользователей: Убедитесь, что все пользователи работают с минимально необходимыми привилегиями (не входят в группу "Администраторы" или "Пользователи с ограниченными правами").
  2. Блокировка создания жестких ссылок: Для неподдерживаемых рабочих станций можно рассмотреть применение правила AppLocker или Software Restriction Policies, запрещающего выполнение cmd.exe и powershell.exe для стандартных пользователей. Внимание: Это может нарушить бизнес-процессы.
  3. Мониторинг: Настройте аудит и оповещения в SIEM/SOC на следующие события:
    • Необычные попытки создания жестких ссылок (Event ID 4656 с объектом типа HardLink).
    • Запуск процессов с высоким уровнем целостности (например, SYSTEM) из-под сессий обычных пользователей.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей