CVE-2020-0683

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Windows Installer contains a privilege escalation vulnerability when MSI packages process symbolic links, which allows attackers to bypass access restrictions to add or remove files.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в Microsoft Windows Installer (msiexec.exe) позволяет злоумышленнику с правами обычного пользователя повысить привилегии до уровня SYSTEM. Это происходит при обработке специально созданного MSI-пакета, содержащего символические ссылки (symlinks). Атакующий может перенаправить операции установки/удаления на защищенные системные каталоги, обойдя проверки доступа, что приведет к добавлению, изменению или удалению файлов с повышенными правами.

Как исправить

Установите официальный патч от Microsoft через Центр обновления Windows. Патч распространяется в виде накопительного обновления. Для разных версий Windows требуются следующие обновления:

  • Windows 10 (все поддерживаемые версии): Установите последнее накопительное обновление. Конкретно для этой уязвимости исправление включено в обновление за февраль 2020 года (например, KB4532693, но актуальный номер может быть новее).
  • Windows 8.1 и Windows Server 2012 R2: Установите KB4537821 (Накопительный пакет обновления за февраль 2020 г.).
  • Windows 7 и Windows Server 2008 R2 (с расширенной поддержкой): Установите KB4537820 (Накопительный пакет обновления за февраль 2020 г. только для систем с ESU).

Рекомендуемое действие: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Установите все найденные важные и обязательные обновления. 4. Для серверов и контроля версий используйте команду PowerShell от имени администратора: powershell Get-HotFix -Id KB4537821, KB4537820, KB4532693 | Format-Table -AutoSize (Подставьте нужный номер KB для проверки установки).

Временное решение

Если немедленная установка обновления невозможна, ограничьте возможность выполнения MSI-пакетов из ненадежных источников.

  1. Настройте политику ограниченного использования программ (AppLocker) для MSI-файлов:

    • Откройте gpedit.msc (Локальная групповая политика).
    • Перейдите: Конфигурация компьютера -> Параметры Windows -> Параметры безопасности -> Политики управления приложениями -> AppLocker -> Правила для установщиков.
    • Создайте правило, разрешающее запуск MSI-пакетов только из доверенных каталогов (например, %SYSTEMDRIVE%\Windows\Installer\, %PROGRAMFILES%\) или подписанных определенными издателями.

  2. Ограничьте права пользователей: Убедитесь, что обычные пользователи не имеют прав на запись в системные каталоги и не могут создавать символические ссылки (это право обычно есть только у администраторов по умолчанию).

  3. Повысьте мониторинг: Включите аудит событий создания процессов (Event ID 4688) и отслеживайте запуск msiexec.exe из-под учетных записей обычных пользователей, особенно с нестандартными параметрами командной строки.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей