CVE-2021-31955

Microsoft Windows

ВЕРОЯТНОСТЬ 4.3%
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Windows Kernel contains an unspecified vulnerability that allows for information disclosure. Successful exploitation allows attackers to read the contents of kernel memory from a user-mode process.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в ядре Windows (ntoskrnl.exe) позволяет злоумышленнику, имеющему возможность выполнить код в пользовательском режиме, прочитать произвольные участки памяти ядра. Это может привести к раскрытию конфиденциальной информации: ключей шифрования, паролей, структур данных драйверов или других чувствительных данных, хранящихся в ядре.

Как исправить

Установите официальное обновление безопасности от Microsoft. Уязвимость устранена в ежемесячных накопительных обновлениях.

Для Windows 10 версии 2004, 20H2, 21H1, 21H2: * Установите обновление KB5003637 (выпущено 8 июня 2021 г.) или более позднее из серии накопительных обновлений. * Команда для проверки установленных обновлений в PowerShell: powershell Get-HotFix | Where-Object {$_.HotFixID -like "KB5003637*"}

Для Windows Server 2019, Windows 10 версии 1809: * Установите обновление KB5003646 (выпущено 8 июня 2021 г.) или более позднее.

Общий порядок действий: 1. Откройте Параметры Windows -> Обновление и безопасность -> Центр обновления Windows. 2. Нажмите "Проверить наличие обновлений" и установите все предлагаемые обновления, особенно категории "Качественные обновления". 3. После установки перезагрузите систему.

Временное решение

Прямых временных решений (workarounds) для этой конкретной уязвимости Microsoft не предоставила. Если немедленная установка обновления невозможна, примите следующие меры для снижения общего риска:

  1. Ограничьте права пользователей: Убедитесь, что все пользователи работают с минимально необходимыми привилегиями (без прав локального администратора). Это усложнит запуск эксплойта.
  2. Активируйте Control Flow Guard (CFG): Включите эту функцию эксплойт-митигации на всех конечных точках. Это можно сделать через групповые политики или локальную политику безопасности.
    • Путь в групповых политиках: Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Параметры выполнения приложений -> Включить Control Flow Guard.
  3. Минимизируйте поверхность атаки: Отключите или удалите ненужные службы, приложения и функции системы. Используйте брандмауэр Windows для блокировки всех входящих соединений, не требующихся для бизнес-процессов.
  4. Усильте мониторинг: Настройте сбор и анализ журналов событий Windows (Event Log), особенно событий безопасности (Event ID 4688 — создание процесса) и системных событий, на предмет подозрительной активности.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей