CVE-2020-0638

Суть уязвимости

Уязвимость в Microsoft Update Notification Manager позволяет локальному злоумышленнику повысить свои привилегии в системе. Для эксплуатации атакующий, уже имеющий возможность выполнять код с правами обычного пользователя, может запустить специально созданное приложение, которое использует ошибку в компоненте уведомлений об обновлениях. В результате злоумышленник получает права уровня SYSTEM или администратора, что позволяет ему устанавливать программы, просматривать, изменять или удалять данные, а также создавать новые учетные записи.

Как исправить

Установите официальное обновление безопасности от Microsoft, устраняющее данную уязвимость.

• Для Windows 10 (версии 1903 и 1909): Установите накопительное обновление от 14 января 2020 г. или новее. Конкретный номер обновления зависит от разрядности вашей ОС (x86 или x64). Найдите и установите обновление через Центр обновления Windows или вручную со страницы каталога обновлений Microsoft по номеру KB4534293.

• Проверка установки обновления:

  1. Нажмите Win + R, введите winver и нажмите Enter.
  2. В открывшемся окне проверьте номер сборки ОС. После установки KB4534293 для Windows 10 версий 1903 и 1909 сборка должна быть 18362.592 или 18363.592 соответственно.
  3. Альтернативно, выполните в PowerShell: powershell Get-HotFix | Where-Object {$_.HotFixID -eq "KB4534293"} Если обновление установлено, команда вернет информацию о нем.

Временное решение

Если немедленная установка обновления невозможна, рассмотрите следующие меры для снижения риска:

• Ограничение прав пользователей: Сведите к минимуму количество учетных записей с правами локального администратора. Все повседневные задачи должны выполняться под учетными записями с обычными правами пользователя.
• Применение принципа наименьших привилегий (POLP): Настройте политики AppLocker или Software Restriction Policies, чтобы разрешать запуск только необходимых, доверенных приложений из утвержденных мест.
• Мониторинг и аудит: Включите детальный аудит событий безопасности, особенно:
  • Создание процессов (Event ID 4688 в журнале Security с включенной командной строкой).
  • Попытки повышения привилегий (Event ID 4672). Регулярно анализируйте эти логи на предмет подозрительной активности.
• Изоляция критических систем: Ограничьте физический и сетевой доступ к уязвимым системам, чтобы снизить вероятность получения злоумышленником первоначального доступа для эксплуатации локальной уязвимости.