CVE-2020-1054

Microsoft Win32k

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Win32k contains a privilege escalation vulnerability when the Windows kernel-mode driver fails to properly handle objects in memory. Successful exploitation allows an attacker to execute code in kernel mode.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в драйвере Win32k.sys (компонент Windows для управления графикой и окнами) позволяет локальному пользователю с низкими привилегиями выполнить специально созданный код, который неправильно обрабатывается ядром Windows. В результате злоумышленник может повысить свои права до уровня SYSTEM (режим ядра) и получить полный контроль над системой.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный номер обновления зависит от версии вашей ОС Windows:

  • Windows 10 (все поддерживаемые версии): Установите обновление безопасности от 12 мая 2020 года.
    • Номер KB: KB4556799
  • Windows 8.1 и Windows Server 2012 R2: Установите обновление безопасности от 12 мая 2020 года.
    • Номер KB: KB4556846
  • Windows 7 с пакетом обновления 1 (SP1) и Windows Server 2008 R2 с пакетом обновления 1 (SP1): Установите обновление безопасности от 12 мая 2020 года.
    • Номер KB: KB4556836

Способ установки (PowerShell от имени Администратора):

# Проверьте доступные обновления и установите их
Install-Module -Name PSWindowsUpdate -Force
Get-WindowsUpdate -AcceptAll -Install -AutoReboot

Или используйте стандартный Центр обновления Windows (Settings -> Update & Security -> Windows Update).

Временное решение

Прямого временного решения (workaround) для этой уязвимости не существует, так как она связана с ошибкой в базовом компоненте ядра. Если немедленная установка обновления невозможна, примите следующие меры для снижения риска:

  1. Ограничьте локальный доступ:

    • Минимизируйте количество пользователей с правами локального входа на уязвимые системы.
    • Используйте принцип наименьших привилегий для всех учетных записей.

  2. Усильте мониторинг:

    • Включите аудит событий безопасности (особенно события входа и попыток повышения привилегий).
    • Настройте SIEM-систему на обнаружение подозрительной активности, связанной с процессами, пытающимися получить права SYSTEM (например, через утилиты вроде PsExec).

  3. Изолируйте систему:

    • Ограничьте сетевой доступ к уязвимым машинам с помощью брандмауэра. Закройте все неиспользуемые порты.
    • По возможности, исключите уязвимые хосты из критических сегментов сети.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей