CVE-2021-1732

Microsoft Win32k

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Win32k contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в драйвере ядра Win32k.sys (LPE — Local Privilege Escalation). Злоумышленник, уже имеющий возможность выполнить код на целевой системе с обычными правами пользователя, может эксплуатировать эту уязвимость для получения прав уровня SYSTEM (NT AUTHORITY\SYSTEM) и полного контроля над системой.

Как исправить

Установите официальное обновление безопасности от Microsoft, устраняющее данную уязвимость.

  • Для Windows 10 (версии 20H2, 2004, 1909, 1903, 1809, 1803): Установите обновление KB4601319 (или более новое из ежемесячных накопительных обновлений) от 9 февраля 2021 года.
  • Для Windows Server 2019, 2016: Установите соответствующее накопительное обновление от февраля 2021 года (например, KB4601319 для Server 2019).

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Установите все предлагаемые важные обновления, особенно за февраль 2021 года. 4. Перезагрузите систему.

Альтернативный метод (PowerShell с правами администратора):

# Установка конкретного обновления по его KB-номеру (пример)
# wusa.exe "C:\Path\To\Update\windows10.0-kb4601319-x64.msu" /quiet /norestart

# Или принудительная проверка и установка через PowerShell
Install-Module -Name PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временное решение

Если немедленная установка обновления невозможна, рассмотрите следующие меры для снижения риска:

  1. Снижение прав пользователей: Убедитесь, что все пользователи в системе работают с минимально необходимыми привилегиями (не входят в группу "Администраторы"). Это не предотвращает эксплуатацию, но ограничивает начальный доступ злоумышленника.
  2. Контроль учетных записей (UAC): Убедитесь, что UAC включен и работает на уровне по умолчанию ("Всегда уведомлять"). Это может затруднить некоторые векторы атаки.
  3. Антивирусное ПО / EDR: Убедитесь, что антивирусные решения и системы предотвращения вторжений (EDR) обновлены и активны. Многие из них имеют сигнатуры для обнаружения попыток эксплуатации этой уязвимости.
  4. Аудит и мониторинг: Включите аудит событий безопасности и настройте мониторинг на подозрительную активность, связанную с попытками повышения привилегий (например, Event ID 4688 — создание нового процесса с повышенными правами).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей