CVE-2019-1253

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-15

Официальное описание

A privilege escalation vulnerability exists when the Windows AppX Deployment Server improperly handles junctions.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в службе AppX Deployment Server (AppXSVC) в Windows позволяет локальному злоумышленнику повысить свои привилегии до уровня SYSTEM. Для эксплуатации атакующий, уже имеющий доступ к системе с правами обычного пользователя, создает специальную символическую ссылку (junction point), которая перенаправляет операции службы в контролируемую им папку. Это приводит к неправильной обработке файлов и выполнению кода с повышенными правами.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный номер обновления зависит от вашей версии ОС:

  • Windows 10 версии 1903: Установите обновление KB4512941 (сборка ОС 18362.356) или более позднее.
  • Windows 10 версии 1809: Установите обновление KB4512578 (сборка ОС 17763.775) или более позднее.
  • Windows Server 2019: Установите обновление KB4512578 (сборка ОС 17763.775) или более позднее.

Порядок действий: 1. Откройте Параметры Windows > Обновление и безопасность > Центр обновления Windows. 2. Нажмите Проверить наличие обновлений. 3. Установите все предлагаемые обновления, особенно помеченные как "качественные". 4. Перезагрузите систему.

Для проверки установленной версии выполните в командной строке:

winver

Убедитесь, что номер сборки соответствует указанным выше или превышает их.

Временное решение

Если немедленная установка обновления невозможна, ограничьте права доступа к ключевой службе.

  1. Отключите службу AppX Deployment Service (AppXSVC):

    • Откройте командную строку с правами администратора.
    • Выполните команду для остановки и отключения службы: bash sc stop AppXSvc sc config AppXSvc start= disabled Важное предупреждение: Отключение этой службы может нарушить работу установки, развертывания и обновления приложений из Microsoft Store, а также некоторых встроенных приложений Windows. Используйте это решение только как временную меру в критических окружениях.

  2. Ограничение через групповые политики (для домена):

    • Используйте объекты групповой политики (GPO), чтобы запретить локальным пользователям (не администраторам) запуск и изменение службы AppXSVC на целевых компьютерах.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей