CVE-2019-1388

Microsoft Windows

ВЕРОЯТНОСТЬ 8.6%
Дата обнаружения

2023-04-07

Официальное описание

Microsoft Windows Certificate Dialog contains a privilege escalation vulnerability, allowing attackers to run processes in an elevated context.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2019-1388 — это уязвимость повышения привилегий (LPE) в Windows Certificate Dialog. Проблема возникает из-за некорректной обработки диалогового окна сертификата при запуске исполняемого файла от имени администратора через UAC (User Account Control).

Если исполняемый файл подписан сертификатом, содержащим гиперссылку в поле OID, злоумышленник может кликнуть по ней в окне UAC. Это приводит к запуску браузера Internet Explorer с правами системы (NT AUTHORITY\SYSTEM). Поскольку браузер запущен от имени системы, через функцию «Сохранить как» или другие манипуляции с файловой системой злоумышленник может вызвать командную строку (cmd.exe) с максимальными привилегиями, полностью обходя механизмы защиты UAC.

Как исправить

Основным и единственным надежным способом устранения данной уязвимости является установка официальных обновлений безопасности от Microsoft. Данная уязвимость была исправлена в рамках обновлений «Patch Tuesday» в ноябре 2019 года.

Для устранения необходимо выполнить следующие действия:

  1. Запустить поиск и установку обновлений через Центр обновления Windows (Windows Update).
  2. Убедиться, что установлены кумулятивные обновления, выпущенные после ноября 2019 года.

Для проверки наличия установленного исправления через PowerShell:

get-hotfix | where-object {$_.HotFixID -eq "KB4524244" -or $_.HotFixID -eq "KB4525237" -or $_.HotFixID -eq "KB4525233"}

Примечание: Номер KB может варьироваться в зависимости от версии и редакции ОС (Windows 7, 10, Server 2008/2012/2016/2019).

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие компенсационные меры для снижения риска эксплуатации:

  1. Ограничение прав пользователей: Соблюдайте принцип наименьших привилегий (PoLP). Убедитесь, что рядовые пользователи не входят в группу локальных администраторов, что затруднит вызов окна UAC для критических системных файлов.

  2. Настройка политики UAC: Настройте запрос учетных данных на безопасном рабочем столе, чтобы предотвратить взаимодействие сторонних процессов с окном подтверждения.

  3. Мониторинг событий: Настройте аудит создания процессов (Event ID 4688) и отслеживайте запуск дочерних процессов браузеров (iexplore.exe), родителем которых является процесс consent.exe.

Get-WinEvent -FilterHashtable @{LogName='Security';ID=4688} | Where-Object {$_.Message -like "*consent.exe*"}
  1. Использование AppLocker или Windows Defender Application Control (WDAC): Настройте правила запрета запуска несанкционированных исполняемых файлов, которые могут быть использованы для инициации цепочки атаки.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей