CVE-2019-1215

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Windows contains an unspecified vulnerability due to the way ws2ifsl.sys (Winsock) handles objects in memory, allowing for privilege escalation. Successful exploitation allows an attacker to execute code with elevated privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в драйвере ws2ifsl.sys компонента Windows Sockets 2 (Winsock) позволяет локальному пользователю с низкими привилегиями выполнить специально созданное приложение. Это приложение манипулирует объектами в памяти таким образом, что приводит к повреждению системной памяти. В результате злоумышленник может получить повышенные привилегии (права SYSTEM) и выполнить произвольный код.

Как исправить

Установите официальное обновление безопасности от Microsoft. Для разных версий Windows требуются следующие патчи:

  • Windows 10 версии 1903 для 32-разрядных систем: Установите обновление KB4515384 (сборка ОС 18362.356).
  • Windows 10 версии 1903 для систем на базе процессоров x64: Установите обновление KB4515384 (сборка ОС 18362.356).
  • Windows Server, версия 1903 (сборка 18362): Установите обновление KB4515384 (сборка ОС 18362.356).

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Убедитесь, что в списке доступных обновлений присутствует указанный выше патч (KB4515384). 4. Установите обновление и перезагрузите систему.

Для автоматической проверки и установки через PowerShell (от имени администратора) выполните:

Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -AcceptAll -Install -AutoReboot

Временное решение

Если немедленная установка обновления невозможна, примените следующие меры для снижения риска:

  1. Ограничение локального доступа: Минимизируйте количество пользователей, имеющих права на локальный вход в систему. Используйте принцип наименьших привилегий.
  2. Контроль учетных записей пользователей (UAC): Убедитесь, что UAC включен и настроен на максимальный уровень уведомлений (по умолчанию). Это не блокирует эксплуатацию, но усложнит ее.
  3. Антивирусное ПО / EDR: Убедитесь, что антивирусные решения и системы обнаружения/реагирования на конечных точках (EDR) актуальны и включены. Настройте политики для блокировки выполнения неподписанных или подозрительных исполняемых файлов.
  4. Аудит и мониторинг: Включите аудит событий безопасности и настройте SIEM-систему на мониторинг подозрительной активности, связанной с попытками повышения привилегий (например, событие 4688 с созданием процессов от имени SYSTEM нестандартными родительскими процессами).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей