CVE-2021-31201

Microsoft Enhanced Cryptographic Provider

ВЕРОЯТНОСТЬ 1.3%
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Enhanced Cryptographic Provider contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-31201) в Microsoft Enhanced Cryptographic Provider (RSAENH) позволяет локальному злоумышленнику, уже имеющему возможность выполнить код на целевой системе с низкими привилегиями, повысить свои права до уровня SYSTEM. Это достигается за счет эксплуатации ошибки в обработке данных криптопровайдером.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный патч зависит от версии вашей ОС Windows.

  1. Определите версию ОС: Откройте командную строку и выполните: bash systeminfo | findstr /B /C:"OS Name" /C:"OS Version"

  2. Установите соответствующее обновление:

    • Windows 10 (все поддерживаемые версии): Установите накопительное обновление от мая 2021 года или новее. Например, KB5003173 (обновление от 11 мая 2021 г.).
    • Windows Server 2019: Установите KB5003173 (обновление от 11 мая 2021 г.) или новее.
    • Windows Server 2016: Установите KB5003197 (обновление от 11 мая 2021 г.) или новее.
    • Более старые, но поддерживаемые на тот момент системы (Windows 7/8.1, Server 2008 R2/2012 R2): Установите соответствующие накопительные обновления за май 2021 года.

    Способ установки (на примере Windows 10/11): * Через Центр обновления Windows: ПараметрыОбновление и безопасностьЦентр обновления WindowsПроверить наличие обновлений. * Вручную: Загрузите установщик (.msu) с Каталога обновлений Microsoft, используя номер KB из списка выше, и запустите его.

Временное решение

Если немедленная установка обновления невозможна, рассмотрите следующие меры для снижения риска:

  1. Строгое управление учетными записями:

    • Сведите к минимуму количество пользователей с правами локального администратора.
    • Используйте принцип наименьших привилегий для всех сервисных аккаунтов и пользователей.

  2. Ограничение выполнения кода:

    • Примените политики ограничения программ (AppLocker) или аналогичные механизмы, чтобы заблокировать выполнение неподписанного или недоверенного кода на критически важных серверах.
    • Включите и настройте Защитник Windows Exploit Guard (ASR — правила уменьшения площади атаки), особенно правило "Блокировка кражи учетных данных".

  3. Мониторинг и обнаружение:

    • Настройте аудит и мониторинг событий безопасности (Event ID 4688, 4697) для отслеживания создания процессов с высоким уровнем целостности (например, SYSTEM) из процессов с низким уровнем целостности.
    • Усильте мониторинг вызовов криптографических функций (advapi32.dll, Rsaenh.dll) из неподписанных или подозрительных процессов с помощью решений класса EDR/XDR.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей