CVE-2020-0787

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-01-28

Официальное описание

Microsoft Windows BITS is vulnerable to to a privilege elevation vulnerability if it improperly handles symbolic links. An actor can exploit this vulnerability to execute arbitrary code with system-level privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в службе фоновой интеллектуальной службы передачи данных (BITS) в Windows. Злоумышленник, уже имеющий возможность выполнять код с низкими привилегиями на целевой системе, может создать специальную символическую ссылку (symlink). При определенных условиях BITS неправильно обрабатывает эту ссылку, что позволяет повысить привилегии до уровня SYSTEM и выполнить произвольный код.

Как исправить

Установите официальное обновление безопасности от Microsoft.

  • Для Windows 10 (все поддерживаемые версии): Установите накопительное обновление от 10 марта 2020 г. или новее.
    • Например, для Windows 10 версии 1909 и 1903 требуется обновление KB4540673 (сборка ОС 18362.719 или 18363.719).
  • Для Windows Server 2019: Установите накопительное обновление KB4540673 (сборка ОС 17763.1098).
  • Для Windows 8.1 и Windows Server 2012 R2: Установите ежемесячное накопительное обновление KB4541509.

Порядок действий: 1. Откройте Параметры Windows -> Обновление и безопасность -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений" и установите все предлагаемые обновления. 3. Для серверов используйте sconfig или выполните в PowerShell (от имени администратора): powershell Install-Module -Name PSWindowsUpdate -Force Get-WindowsUpdate -Install -AcceptAll -AutoReboot 4. После установки перезагрузите систему.

Временное решение

Если немедленная установка обновления невозможна, ограничьте права доступа к службе BITS для локальных пользователей.

  1. Ограничение через локальную политику безопасности (наиболее надежный метод):

    • Откройте secpol.msc.
    • Перейдите: Локальные политики -> Назначение прав пользователя.
    • Найдите политику "Вход в качестве службы".
    • Удалите из списка все группы, кроме "Локальная система", "Администраторы" и необходимых для работы служб учетных записей (например, учетной записи управляющего ПО). Не удаляйте встроенные учетные записи SYSTEM и администраторов.

  2. Отключение службы BITS (радикальный метод, нарушит работу обновлений Windows и приложений, использующих фоновую загрузку): powershell Stop-Service -Name BITS -Force Set-Service -Name BITS -StartupType Disabled Внимание: Это временная мера. После установки патча верните службу в автоматический режим: powershell Set-Service -Name BITS -StartupType Automatic Start-Service -Name BITS

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей