CVE-2020-1464

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Windows contains a spoofing vulnerability when Windows incorrectly validates file signatures, allowing an attacker to bypass security features and load improperly signed files.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2020-1464) — это ошибка проверки подписи файлов в Microsoft Windows. Злоумышленник может создать специальный файл (например, исполняемый .exe или библиотеку .dll), цифровая подпись которого будет некорректно проверена системой. Это позволяет: * Обойти механизмы безопасности, такие как Windows Defender Application Control и Device Guard. * Загрузить и выполнить вредоносный код, маскирующийся под подписанное и доверенное ПО. * Повысить привилегии, если уязвимый процесс работает с повышенными правами.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный номер пакета обновления (KB) зависит от версии вашей ОС Windows:

  1. Определите свою версию Windows. Выполните в командной строке: bash winver

  2. Установите соответствующее накопительное обновление (KB4571694) через Центр обновления Windows или вручную:

    • Windows 10 (версии 2004, 20H2): Установите обновление KB4566782 (или более позднее накопительное обновление за август 2020 г.).
    • Windows 10 (версии 1903, 1909): Установите обновление KB4565351 (или более позднее накопительное обновление за август 2020 г.).
    • Windows 8.1, Windows Server 2012 R2: Установите обновление KB4565541 (или более позднее ежемесячное накопительное обновление).
    • Windows 7, Windows Server 2008 R2 (только расширенная поддержка): Установите обновление KB4565524 (или более позднее ежемесячное накопительное обновление).

    Ручная установка: Загрузите нужный пакет KB со страницы Каталога Центра обновления Майкрософт, выполнив поиск по номеру KB.

  3. Перезагрузите систему после установки обновления.

Временное решение

Если немедленная установка патча невозможна, примените следующие меры для снижения риска:

  1. Ограничьте выполнение неподписанного кода с помощью политик AppLocker или WDAC (рекомендуется для серверов):

    • Создайте или ужесточите политики, разрешающие выполнение только файлов, подписанных конкретными доверенными издателями.
    • Пример базовой политики AppLocker через PowerShell (настройте правила под вашу среду): bash # Создание правила, разрешающего только исполняемые файлы из папки C:\Program Files\ New-AppLockerPolicy -RuleType Publisher, Path -User Everyone -Action Deny
    • Внимание: Требует тщательного тестирования, чтобы не нарушить работу легитимного ПО.

  2. Минимизируйте права учетных записей:

    • Убедитесь, что пользователи и службы работают с минимально необходимыми привилегиями (принцип наименьших прав). Это ограничит потенциальный ущерб от эксплуатации уязвимости.

  3. Контролируйте установку ПО:

    • Разрешайте установку приложений только из доверенных источников (официальные репозитории, Microsoft Store для бизнеса).
    • Используйте средства управления (например, Microsoft Intune, групповые политики) для ограничения запуска неподписанных исполняемых файлов.

Важно: Временные решения лишь снижают вероятность успешной атаки, но не устраняют саму уязвимость. Установка официального патча обязательна.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей