CVE-2020-17087

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Windows kernel contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2020-17087) — это ошибка в драйвере cng.sys (Kernel Mode Cryptographic Driver) ядра Windows. Она связана с неправильной обработкой памяти (путаница типов объектов).

  • Механизм атаки: Локальный злоумышленник с низкими привилегиями может запустить специально созданное приложение.
  • Цель: Это приложение эксплуатирует ошибку в драйвере для получения несанкционированного доступа к памяти ядра.
  • Результат: Успешная эксплуатация позволяет выполнить произвольный код в режиме ядра, что приводит к повышению привилегий до уровня SYSTEM и полному контролю над системой.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный номер обновления зависит от вашей версии Windows 10.

  1. Определите свою версию ОС: Откройте командную строку (cmd) и выполните: bash winver

  2. Установите соответствующее накопительное обновление (KB):

    • Windows 10 версия 2004 и 20H2: Установите обновление KB4586781 (сборка ОС 19041.630 или 19042.630).
    • Windows 10 версия 1909: Установите обновление KB4586786 (сборка ОС 18363.1198).
    • Windows 10 версия 1903: Установите обновление KB4586786 (сборка ОС 18362.1198).
    • Windows 10 версия 1809: Установите обновление KB4586793 (сборка ОС 17763.1577).
    • Более старые версии: Уже не поддерживаются и должны быть обновлены до актуальной версии.

    Способ установки: * Через Центр обновления Windows (Настройки → Обновление и безопасность). * Вручную из каталога Microsoft Update: https://www.catalog.update.microsoft.com/Search.aspx?q=KB4586781 (замените номер KB).

  3. Перезагрузите систему после установки обновления.

Временное решение

Если немедленная установка патча невозможна, примите следующие меры для снижения риска:

  • Ограничьте локальный доступ: Минимизируйте количество пользователей с возможностью локального входа на критически важные серверы. Используйте принцип наименьших привилегий.
  • Контроль учетных записей (UAC): Убедитесь, что UAC включен и настроен на максимальный уровень уведомлений (по умолчанию). Это не блокирует уязвимость, но усложняет эксплуатацию.
  • Антиэксплойт-защита: Включите и настройте Microsoft Defender Exploit Guard, в частности:
    • Защита от подделки: Включите защиту для критических процессов.
    • Снижение риска: Включите правила для блокировки действий, характерных для эксплуатации уязвимостей (например, выполнение неподписанных процессов из USB).
  • Мониторинг и аудит: Усильте мониторинг событий безопасности (Event ID 4688, 4697 в журнале Windows Security) для обнаружения подозрительных попыток выполнения процессов с высокими привилегиями.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей