CVE-2021-31956

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Windows New Technology File System (NTFS) contains an unspecified vulnerability that allows attackers to escalate privileges via a specially crafted application.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2021-31956) в драйвере файловой системы NTFS (ntfs.sys) позволяет локальному злоумышленнику повысить свои привилегии в системе. Для эксплуатации атакующему, уже имеющему возможность выполнить код на целевом компьютере с обычными правами пользователя, необходимо запустить специально созданное вредоносное приложение. Это приложение использует ошибку в обработке объектов файловой системой, что может привести к повреждению памяти и выполнению произвольного кода с правами уровня ядра (SYSTEM).

Как исправить

Установите официальное обновление безопасности от Microsoft, устраняющее данную уязвимость.

  1. Определите свою версию ОС Windows. Откройте командную строку и выполните: bash winver

  2. Установите соответствующее накопительное обновление (KB) для вашей версии Windows 10/11 или Windows Server. Ключевые обновления:

    • Windows 10 версии 2004, 20H2, 21H1, 21H2: Установите обновление KB5003637 (от 8 июня 2021 г.) или более позднее накопительное обновление для вашей версии.
    • Windows Server 2022, 2019, 2016, 2012 R2: Установите последнее накопительное ежемесячное обновление безопасности за июнь 2021 года или новее.

  3. Способ установки:

    • Через Центр обновления Windows: Перейдите в ПараметрыОбновление и безопасностьЦентр обновления Windows и нажмите "Проверить наличие обновлений".
    • Вручную: Загрузите нужный пакет обновления (MSU) из Каталога обновлений Microsoft и установите его.

После установки обновления перезагрузите систему.

Временное решение

Если немедленная установка обновления невозможна, рассмотрите следующие меры для снижения риска:

  1. Строгое управление учетными записями:

    • Соблюдайте принцип наименьших привилегий. Не предоставляйте обычным пользователям прав локального администратора.
    • Ограничьте возможность локального входа в систему и выполнения кода для ненадежных учетных записей.

  2. Защита от выполнения данных (DEP): Убедитесь, что функция DEP включена глобально для всех программ. Это можно проверить и настроить через Панель управленияСистемаДополнительные параметры системы → вкладка ДополнительноБыстродействие (Параметры) → вкладка Предотвращение выполнения данных.

  3. Контроль целостности кода (CI): На серверах под управлением Windows Server используйте функцию Device Guard (для Windows 10/11) или Configurable Code Integrity (для Windows Server 2016+), чтобы разрешать выполнение только подписанного и доверенного кода.

  4. Мониторинг и обнаружение: Настройте SIEM-систему или Microsoft Defender для Endpoint на отслеживание подозрительных действий, связанных с попытками эксплуатации уязвимостей драйверов ядра (например, создание процессов с высоким уровнем целостности из процессов с низким уровнем).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей