CVE-2021-31199
Microsoft Enhanced Cryptographic Provider
2021-11-03
Microsoft Enhanced Cryptographic Provider contains an unspecified vulnerability that allows for privilege escalation.
Технический анализ и план устранения
Суть уязвимости
Уязвимость (CVE-2021-31199) в Microsoft Enhanced Cryptographic Provider (ECP) связана с ошибкой при обработке определенных криптографических операций. Злоумышленник, уже имеющий возможность выполнить код в системе с низкими привилегиями, может использовать эту ошибку для манипуляции памятью процесса, работающего с ECP. В результате возможно повреждение памяти, которое может привести к повышению привилегий и выполнению произвольного кода с правами SYSTEM.
Как исправить
Установите официальное обновление безопасности от Microsoft. Уязвимость была устранена в майских патчах 2021 года.
- Для Windows 10 (версии 2004, 20H2, 21H1): Установите накопительное обновление KB5003173 (сборка ОС 19041.985, 19042.985, 19043.985) или более позднее.
- Для Windows Server 2019: Установите накопительное обновление KB5003197 (сборка ОС 17763.1935) или более позднее.
- Для Windows Server 2016: Установите накопительное обновление KB5003194 (сборка ОС 14393.4467) или более позднее.
Действия: 1. Откройте Параметры Windows -> Обновление и безопасность -> Центр обновления Windows. 2. Нажмите "Проверить наличие обновлений" и установите все предлагаемые обновления, особенно накопительные обновления безопасности. 3. После установки перезагрузите систему.
Альтернативно (для серверов или автоматизации):
# Использование PowerShell для установки конкретного обновления (пример)
# Скачайте MSU-пакет обновления с каталога Microsoft
wusa.exe C:\Path\To\windows10.0-kb5003173-x64.msu /quiet /norestart
(Замените путь и имя файла на актуальные для вашей системы)
Временное решение
Прямых временных решений (workarounds) для этой конкретной уязвимости Microsoft не предоставила. Поскольку уязвимость эксплуатируется локально, ключевая мера — не допустить попадание злоумышленника в систему.
Рекомендуемые действия до установки патча: 1. Строгое соблюдение принципа наименьших привилегий: Убедитесь, что у пользователей и служб нет избыточных прав. Минимизируйте количество учетных записей с правами администратора. 2. Контроль учетных записей пользователей (UAC): Убедитесь, что UAC включен и настроен на максимальный уровень уведомлений (по умолчанию). 3. Изоляция критических систем: Ограничьте доступ к системам, где установка обновления откладывается. Поместите их в отдельные сегменты сети с строгими правилами брандмауэра. 4. Мониторинг и аудит: Усильте мониторинг событий безопасности (Event ID 4688, 4697, 4703 в журнале Windows) на предмет подозрительной активности, связанной с запуском процессов или изменением привилегий. 5. Запуск критически важных служб в изолированных средах: Рассмотрите возможность использования Windows Defender Application Guard или аналогичных технологий для изоляции задач, связанных с обработкой ненадежного контента.