CVE-2020-1027

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-05-23

Официальное описание

An elevation of privilege vulnerability exists in the way that the Windows Kernel handles objects in memory. An attacker who successfully exploited the vulnerability could execute code with elevated permissions.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2020-1027) — это ошибка в ядре Windows, связанная с неправильной обработкой объектов в памяти. Злоумышленник, уже имеющий возможность выполнить код на целевой системе с низкими привилегиями, может использовать эту уязвимость для повышения своих прав до уровня SYSTEM или администратора. Это позволяет полностью скомпрометировать систему.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный номер обновления зависит от версии вашей ОС Windows:

  • Windows 10 версии 1903 и 1909: Установите обновление KB4556799.
  • Windows 10 версии 1809: Установите обновление KB4551853.
  • Windows 10 версии 1803: Установите обновление KB4556807.
  • Windows 10 версии 1709: Установите обновление KB4556812.
  • Windows 8.1 и Windows Server 2012 R2: Установите обновление KB4556846.
  • Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 SP1: Установите обновление KB4556836.

Способ установки (через PowerShell с правами администратора):

# Проверьте доступные обновления
Get-HotFix | Select-Object HotFixID, InstalledOn | Sort-Object InstalledOn -Descending

# Установите обновления через Центр обновления Windows (рекомендуется) или вручную скачав пакет с сайта Microsoft.

После установки обязательно перезагрузите систему.

Временное решение

Если немедленная установка патча невозможна, примите следующие меры для снижения риска:

  1. Ограничьте права пользователей: Убедитесь, что все учетные записи работают с минимально необходимыми привилегиями. Уязвимость требует наличия низкоуровневого доступа к системе для начала атаки.
  2. Примените правила блокировки в EDR/антивирусе: Настройте правила для блокировки подозрительной активности, связанной с попытками манипуляции объектами ядра или повышения привилегий.
  3. Изолируйте критически важные системы: Ограничьте сетевой доступ к серверам, на которых нельзя установить патч, с помощью брандмауэров. Разрешайте подключения только с доверенных IP-адресов.
  4. Усильте мониторинг: Включите аудит событий безопасности (Event ID 4688, 4697) и настройте оповещения на попытки несанкционированного повышения привилегий или запуска необычных процессов от имени SYSTEM.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей