CVE-2021-31979

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Windows kernel contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в ядре Windows (ntoskrnl.exe) позволяет локальному пользователю с низкими привилегиями выполнить произвольный код с правами SYSTEM. Злоумышленник может использовать специально созданное приложение для эксплуатации ошибки обработки объектов ядра, что приведет к повышению привилегий и полному контролю над системой.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный номер обновления зависит от версии вашей ОС Windows:

  • Windows 10 версии 2004, 20H2, 21H1, 21H2: Установите накопительное обновление от 8 июня 2021 г. или новее. Например, KB5003637 (сборка ОС 19041.1052, 19042.1052, 19043.1052).
  • Windows Server 2019, Windows 10 версии 1809: Установите KB5003646.
  • Windows 8.1, Windows Server 2012 R2: Установите KB5003671.
  • Windows Server 2012: Установите KB5003695.

Действия: 1. Откройте Параметры Windows > Обновление и безопасность > Центр обновления Windows. 2. Нажмите Проверить наличие обновлений. 3. Установите все предлагаемые обновления, особенно помеченные как "качественные" или "безопасность". 4. Перезагрузите систему.

Для автоматизации в доменной среде используйте WSUS или систему управления обновлениями. Убедитесь, что обновления установлены, проверив версию ОС:

systeminfo | findstr /B /C:"OS Name" /C:"OS Version" /C:"KB5003637"

Временное решение

Прямых временных решений (workarounds) для этой уязвимости Microsoft не предоставила. Если немедленная установка обновления невозможна, примите следующие ограничивающие меры:

  1. Строгая политика учетных записей:

    • Сведите к минимуму количество локальных пользователей с правами администратора.
    • Применяйте принцип наименьших привилегий для всех учетных записей и служб.
    • Регулярно проверяйте членство в локальных группах администраторов.

  2. Контроль доступа и мониторинг:

    • Ограничьте физический и удаленный (RDP, WinRM) доступ к критически важным серверам только для доверенных администраторов.
    • Включите аудит успешных и неудачных попыток входа в систему (политика "Аудит событий входа").
    • Настройте сбор и анализ журналов безопасности (Event ID 4688, 4697) с помощью SIEM-системы для выявления подозрительной активности, связанной с созданием процессов.

  3. Снижение рисков:

    • Убедитесь, что на всех конечных точках работают антивирусные средства нового поколения (NGAV) или EDR-решения с включенными функциями защиты от эксплуатации уязвимостей (Exploit Protection).
    • Рассмотрите возможность применения правил блокировки приложений (AppLocker или WDAC) для запрета выполнения неподписанного или непроверенного кода на критически важных серверах.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей