CVE-2019-1130

Microsoft Windows

ВЕРОЯТНОСТЬ 1.9%
Дата обнаружения

2022-05-23

Официальное описание

A privilege escalation vulnerability exists when Windows AppX Deployment Service (AppXSVC) improperly handles hard links.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в службе развертывания AppX (AppXSVC) позволяет локальному злоумышленнику повысить свои привилегии до уровня SYSTEM. Это происходит из-за неправильной обработки жестких ссылок (hard links) при выполнении операций с файлами. Атакующий, имеющий изначально низкоуровневый доступ к системе, может создать специальную структуру жестких ссылок, чтобы обмануть службу и заставить ее выполнить произвольный код с максимальными правами.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный номер обновления зависит от версии вашей ОС Windows:

  • Windows 10 версии 1903: Установите обновление KB4507453.
  • Windows 10 версии 1809: Установите обновление KB4507469.
  • Windows 10 версии 1803: Установите обновление KB4507435.
  • Windows 10 версии 1709: Установите обновление KB4507466.
  • Windows Server 2019: Установите обновление KB4507469.
  • Windows Server версии 1803: Установите обновление KB4507435.

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите Проверить наличие обновлений. 3. Убедитесь, что указанные выше обновления установлены. Если нет, установите их и перезагрузите систему.

Для автоматической проверки и установки в PowerShell (от имени администратора) можно использовать:

Install-Module -Name PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временное решение

Если немедленная установка обновлений невозможна, временно отключите службу AppX Deployment Service (AppXSVC). Это предотвратит эксплуатацию уязвимости, но может нарушить работу приложений из Microsoft Store и установку некоторых современных (UWP) приложений.

Шаги по отключению службы:

  1. Откройте командную строку или PowerShell от имени администратора.
  2. Выполните команду для остановки службы: cmd sc stop AppXSvc
  3. Выполните команду для отключения автоматического запуска службы: cmd sc config AppXSvc start= disabled

Чтобы вернуть службу в рабочее состояние после установки патча, выполните:

sc config AppXSvc start= demand
sc start AppXSvc
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей