Суть уязвимости

Уязвимость в Microsoft Defender (CVE-2021-1647) — это уязвимость удаленного выполнения кода (RCE) в механизме защиты от вредоносных программ. Злоумышленник может использовать ее следующим образом: * Создав специально сформированный вредоносный файл или скрипт. * Отправив этот файл жертве (например, по электронной почте) или разместив его на веб-сайте. * Когда Microsoft Defender автоматически просканирует этот файл (например, через компонент Real-time Protection), произойдет переполнение буфера в памяти. * Это позволит злоумышленнику выполнить произвольный код с привилегиями SYSTEM, что приведет к полному компрометированию системы.

Как исправить

Установите официальный патч от Microsoft. Конкретный номер обновления зависит от вашей версии ОС Windows и установленного пакета Microsoft Defender.

1. Определите вашу версию ОС и Microsoft Defender: bash # Запустите PowerShell от имени администратора и выполните: Get-MpComputerStatus | Select AntivirusEnabled, AMServiceEnabled, AntispywareEnabled, AntivirusSignatureVersion, AntispywareSignatureVersion, NISSignatureVersion

2. Установите обновление безопасности через Центр обновления Windows:

   • Откройте Параметры > Обновление и безопасность > Центр обновления Windows.
   • Нажмите Проверить наличие обновлений и установите все предлагаемые обновления, особенно качественные обновления безопасности.

3. Вручную установите необходимое обновление (KB):

   • Для Microsoft Defender Antivirus уязвимость устраняется обновлениями антивирусной платформы (платформа: 4.18.2101.9 или выше, модуль ядра: 1.1.18100.5 или выше).
   • Установите последние обновления для вашей версии Windows из Каталога обновлений Microsoft. Ключевые обновления безопасности за январь 2021 года:
     • Windows 10, version 20H2, 2004, 1909, 1903: KB4598242
     • Windows Server 2019: KB4598229
     • Windows 8.1, Server 2012 R2: KB4598275

   Установите пакет обновления, соответствующий вашей системе.

Временное решение

Если немедленная установка патча невозможна, примите следующие меры для снижения риска:

• Ограничьте использование уязвимого компонента (самый эффективный метод):

  • Временно отключите защиту в реальном времени (Real-time Protection) только в том случае, если это критично для работы, и немедленно включите ее после установки патча. ```bash

  PowerShell (Администратор) - ОТКЛЮЧЕНИЕ (НЕ РЕКОМЕНДУЕТСЯ для долгосрочного использования):

  Set-MpPreference -DisableRealtimeMonitoring $true

  PowerShell (Администратор) - ВКЛЮЧЕНИЕ обратно:

  Set-MpPreference -DisableRealtimeMonitoring $false ```

• Усильте контроль сетевого периметра:

  • Настройте правила межсетевого экрана (брандмауэра) и WAF на блокировку входящих подключений из неподтвержденных источников, особенно на порты, используемые для доставки вредоносных файлов (SMB, HTTP/S, FTP).
  • Блокируйте вложения электронной почты с опасными расширениями (.exe, .js, .vbs, .ps1) на почтовом шлюзе.

• Примените принцип наименьших привилегий:

  • Убедитесь, что все пользователи работают с обычными (не административными) правами. Это не предотвратит эксплуатацию, но ограничит потенциальный ущерб.

• Внимание: Отключение защиты в реальном времени делает систему крайне уязвимой для других угроз. Используйте этот метод только как краткосрочное решение в сочетании с повышенным мониторингом и немедленно планируйте установку патча.