CVE-2021-28310

Microsoft Win32k

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Windows Win32k contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в драйвере ядра win32k.sys позволяет локальному пользователю с низкими привилегиями выполнить произвольный код в режиме ядра. Это происходит из-за некорректной обработки объектов. Злоумышленник, уже имеющий доступ к системе (например, через учетную запись обычного пользователя или вредоносное ПО), может использовать эту уязвимость для повышения своих привилегий до уровня SYSTEM и полного контроля над системой.

Как исправить

Установите официальное обновление безопасности от Microsoft. Уязвимость устранена в ежемесячных накопительных обновлениях.

  • Для Windows 10 версии 20H2, 2004, 1909, 1903, 1809: Установите обновление KB5001330 (выпуск от 13 апреля 2021 г.) или более позднее.
  • Для Windows Server 2019, 2016, 2012 R2: Установите соответствующее накопительное обновление за апрель 2021 года или новее (например, KB5001347 для Server 2019).

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Установите все предлагаемые обновления, особенно отмеченные как "Важные". 4. Перезагрузите систему.

Альтернативно (через PowerShell с правами администратора):

Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -AcceptAll -Install -AutoReboot

Временное решение

Если немедленная установка обновления невозможна, рассмотрите следующие меры для снижения риска:

  • Ограничьте локальный доступ. Минимизируйте количество пользователей, имеющих локальные учетные записи на критически важных серверах. Используйте принцип наименьших привилегий.
  • Контроль учетных записей пользователей (UAC). Убедитесь, что UAC включен и настроен на максимальный уровень уведомлений по умолчанию. Это не блокирует эксплуатацию, но может усложнить ее.
  • Изолируйте уязвимые системы. Ограничьте сетевой доступ к компьютерам, на которых не установлен патч, с помощью брандмауэров. Запретите им доступ в интернет и в критичные сегменты сети.
  • Мониторинг. Настройте SIEM или EDR-систему на обнаружение подозрительной активности, связанной с попытками эскалации привилегий (например, создание процессов от имени SYSTEM нестандартными способами, вызов уязвимых API ядра).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей