CVE-2019-1315

Microsoft Windows

ВЕРОЯТНОСТЬ 7.6%
Дата обнаружения

2022-03-15

Официальное описание

A privilege escalation vulnerability exists when Windows Error Reporting manager improperly handles hard links. An attacker who successfully exploited this vulnerability could overwrite a targeted file leading to an elevated status.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в диспетчере отчетов об ошибках Windows (Windows Error Reporting, WER) позволяет злоумышленнику с правами обычного пользователя создать специальные жесткие ссылки (hard links) на системные файлы. Воспользовавшись процессом создания отчета об ошибке, который выполняется с повышенными привилегиями (SYSTEM), атакующий может перенаправить запись в целевой файл и перезаписать его. Это приводит к повышению привилегий до уровня SYSTEM.

Как исправить

Установите официальное обновление безопасности от Microsoft. Для разных версий Windows требуются следующие патчи:

  • Windows 10 версии 1903 и Windows Server версии 1903: Установите обновление KB4517389 (сборка ОС 18362.418) или более позднее.
  • Windows 10 версии 1809 и Windows Server 2019: Установите обновление KB4519338 (сборка ОС 17763.775) или более позднее.
  • Windows 10 версии 1803: Установите обновление KB4520008 (сборка ОС 17134.1006) или более позднее.
  • Windows 10 версии 1709: Установите обновление KB4520004 (сборка ОС 16299.1421) или более позднее.
  • Windows 10 версии 1703, 1607, Windows Server 2016, Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 7 SP1, Windows Server 2008 R2 SP1: Установите обновление KB4520005 (для соответствующих сборок ОС) или более позднее.

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Установите все доступные обновления, особенно отмеченные как "Важные". 4. Перезагрузите систему.

Для автоматизации в доменной среде используйте WSUS или System Center Configuration Manager (SCCM).

Временное решение

Если немедленная установка обновления невозможна, ограничьте права пользователей, чтобы снизить риск эксплуатации уязвимости.

  1. Ограничение создания жестких ссылок: Настройте политику безопасности, чтобы запретить пользователям создавать жесткие ссылки. Это можно сделать через групповые политики (GPO) или локальную политику безопасности.

    • Откройте secpol.msc.
    • Перейдите в Локальные политики -> Назначение прав пользователей.
    • Найдите политику "Создание жестких ссылок".
    • Удалите из списка все группы, кроме Администраторов и СИСТЕМА.

  2. Аудит и мониторинг: Включите аудит создания жестких ссылок и отслеживайте подозрительную активность в журналах безопасности.

    • Включите аудит в политике: Локальные политики -> Политика аудита -> Аудит событий доступа к объектам (установите "Успех" и "Неудача").
    • Для ключевых каталогов (например, C:\Windows\) настройте расширенную политику аудита в свойствах папки на вкладке "Безопасность" -> "Дополнительно" -> "Аудит".

Важно: Это временная мера, которая может повлиять на работу легитимных приложений. Установка официального патча остается обязательным решением.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей