CVE-2020-0986

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Windows kernel contains an unspecified vulnerability when handling objects in memory that allows attackers to escalate privileges and execute code in kernel mode.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в ядре Microsoft Windows (CVE-2020-0986) позволяет локальному злоумышленнику, уже имеющему возможность выполнять код на системе с низкими привилегиями, повысить свои права до уровня ядра (kernel mode). Это достигается за счет ошибки в обработке объектов в памяти, что приводит к повреждению системных структур данных. В результате злоумышленник может выполнить произвольный код с максимальными привилегиями, получить полный контроль над системой, обойти механизмы безопасности и скрыть свою активность.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный номер обновления зависит от версии вашей ОС Windows:

  • Windows 10 версии 1903 и 1909: Установите обновление KB4556799.
  • Windows 10 версии 1809: Установите обновление KB4551853.
  • Windows 10 версии 1803: Установите обновление KB4556807.
  • Windows 10 версии 1709: Установите обновление KB4556812.
  • Windows 10 версии 1703: Установите обновление KB4556813.
  • Windows 10 версии 1607: Установите обновление KB4556810.
  • Windows 10 версии 1507: Установите обновление KB4556826.
  • Windows 8.1 / Windows Server 2012 R2: Установите обновление KB4556846.
  • Windows 7 SP1 / Windows Server 2008 R2 SP1: Установите обновление KB4556836.

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Установите все найденные обновления, особенно с пометкой "Важное". 4. Перезагрузите систему.

Альтернативный способ (PowerShell с правами администратора):

Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -AcceptAll -Install -AutoReboot

Временное решение

Если немедленная установка обновления невозможна, примените следующие меры для снижения риска:

  1. Ограничьте локальный доступ:

    • Строго контролируйте учетные записи пользователей. Сведите к минимуму количество учетных записей с правами локального администратора.
    • Используйте принцип наименьших привилегий для всех пользователей и служб.

  2. Включите и настройте Exploit Protection (Защита от эксплойтов):

    • Откройте Центр безопасности Защитника Windows -> Защита от угроз и уязвимостей -> Параметры защиты от эксплойтов.
    • Включите для всех процессов, особенно критически важных (например, svchost.exe, winlogon.exe), следующие меры:
      • Контроль потока выполнения (CFG)
      • Защита целостности произвольного кода (ACG)
      • Блокировка низкоуровневых вызовов

  3. Используйте AppLocker или WDAC:

    • Настройте политики AppLocker (для бизнес-редакций) или Windows Defender Application Control (WDAC) для разрешения запуска только доверенных, подписанных приложений. Это блокирует выполнение несанкционированного кода, необходимого для эксплуатации уязвимости.

  4. Усильте мониторинг:

    • Включите аудит событий безопасности (Политика безопасности -> Аудит -> Аудит событий входа -> Успех/Неудача).
    • Настройте сбор и анализ журналов Sysmon (особенно события ProcessCreate и AccessProcess) для обнаружения подозрительных попыток доступа к системным процессам или драйверам.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей