CVE-2019-1214

Microsoft Windows

ВЕРОЯТНОСТЬ 3.7%
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Windows Common Log File System (CLFS) driver improperly handles objects in memory which can allow for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в драйвере Common Log File System (CLFS) в Microsoft Windows позволяет локальному злоумышленнику, уже имеющему возможность выполнить код в системе с низкими привилегиями, повысить свои права до уровня SYSTEM. Это достигается за счет специально созданных запросов к драйверу, которые приводят к некорректной обработке объектов в памяти.

Как исправить

Установите официальное обновление безопасности от Microsoft. Уязвимость устранена в ежемесячных накопительных обновлениях.

  • Для Windows 10 версии 1903 и 1909: Установите обновление KB4517389 (от 8 октября 2019 г.) или более позднее накопительное обновление.
  • Для Windows 10 версии 1809: Установите обновление KB4519338 (от 8 октября 2019 г.) или более позднее.
  • Для Windows Server 2019: Установите обновление KB4519338 (от 8 октября 2019 г.) или более позднее.
  • Для других версий Windows: Найдите соответствующее обновление по ID CVE на портале Microsoft Security Update Guide.

Порядок действий: 1. Откройте Параметры Windows > Обновление и безопасность > Центр обновления Windows. 2. Нажмите Проверить наличие обновлений. 3. Установите все предлагаемые обновления, особенно помеченные как "качественные" или "безопасность". 4. Перезагрузите систему.

Для централизованного управления (через WSUS или SCCM): Утвердите и разверните соответствующие обновления (KB) для ваших групп компьютеров.

Временное решение

Прямого временного решения (workaround) от Microsoft для данной уязвимости не опубликовано. Если немедленная установка обновления невозможна, примите следующие меры для снижения риска:

  1. Строгое управление учетными записями:

    • Сведите к минимуму количество пользователей с правами локального администратора.
    • Используйте принцип наименьших привилегий для всех учетных записей и служб.

  2. Изоляция и мониторинг:

    • Изолируйте критически важные системы от общего доступа.
    • Усильте мониторинг событий безопасности (Event Log) на предмет подозрительной активности, особенно связанной с драйверами (Event ID: 6 в журнале System) или попытками повышения привилегий.

  3. Защита конечных точек:

    • Убедитесь, что на всех системах включены и обновлены антивирусные средства и решения класса EDR (Endpoint Detection and Response).
    • Настройте политики контроля приложений (AppLocker или WDAC) для блокировки выполнения неподписанного или недоверенного кода.

Важно: Эти меры лишь усложняют эксплуатацию уязвимости, но не устраняют ее. Установка официального патча — единственный надежный способ защиты.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей