CVE-2021-33739

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Desktop Window Manager (DWM) Core Library contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в библиотеке Microsoft Desktop Window Manager (DWM) Core Library позволяет локальному злоумышленнику, уже имеющему возможность выполнить код на целевой системе с низкими привилегиями, повысить свои права до уровня SYSTEM. Это достигается за счет эксплуатации ошибки в обработке памяти ядром Windows.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный патч зависит от версии вашей ОС Windows 10 или Windows Server:

  • Windows 10 версии 2004, 20H2, 21H1: Установите накопительное обновление от 13 июля 2021 г. или новее. Например, KB5004237 (обновление от 13.07.2021).
  • Windows Server 2019, Windows 10 версии 1809: Установите накопительное обновление от 13 июля 2021 г. или новее. Например, KB5004238.
  • Более старые поддерживаемые версии (например, Windows 10 1607, Windows Server 2016): Установите соответствующее накопительное обновление за июль 2021 г..

Порядок действий: 1. Откройте Параметры Windows > Обновление и безопасность > Центр обновления Windows. 2. Нажмите "Проверить наличие обновлений" и установите все предлагаемые обновления, особенно категории "Качественные обновления". 3. Для точного поиска по коду KB используйте Каталог обновлений Microsoft: https://www.catalog.update.microsoft.com/Home.aspx

После установки обновления перезагрузите систему.

Временное решение

Прямых временных решений (например, через отключение служб или изменение реестра) для данной конкретной уязвимости не опубликовано. Рекомендуемые меры до установки патча:

  1. Строгое соблюдение принципа наименьших привилегий: Убедитесь, что у стандартных пользователей нет прав локального администратора. Это усложнит злоумышленнику первоначальный доступ для эксплуатации уязвимости.
  2. Контроль учетных записей (UAC): Убедитесь, что UAC включен и установлен на уровень по умолчанию ("Уведомлять всегда"). Это не блокирует уязвимость, но может помешать некоторым методам атаки.
  3. Изоляция критических систем: Ограничьте доступ к критически важным серверам и рабочим станциям. Минимизируйте количество пользователей, имеющих к ним локальный или удаленный доступ.
  4. Мониторинг: Настройте сбор и анализ журналов событий Windows (Event ID 4688 — создание процесса, Sysmon) на предмет подозрительной активности, связанной с попытками повышения привилегий (например, запуск cmd.exe или powershell.exe из процессов с низкой целостностью с последующим запросом высоких привилегий).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей