CVE-2021-34484

Microsoft Windows

ВЕРОЯТНОСТЬ 2.4%
Дата обнаружения

2022-03-31

Официальное описание

Microsoft Windows User Profile Service contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в службе профилей пользователей Windows (User Profile Service) позволяет локальному злоумышленнику, уже имеющему возможность выполнить код на целевой системе с низкими привилегиями, повысить свои права до уровня SYSTEM. Это достигается за счет неправильной обработки определенных операций со службой.

Как исправить

Установите официальное обновление безопасности от Microsoft, устраняющее данную уязвимость.

  1. Определите свою версию Windows (например, Windows 10 20H2, Windows Server 2019).
  2. Установите соответствующий патч (KB) через Центр обновления Windows:
    • Для большинства систем это обновление за июль 2021 года.
    • Конкретный номер KB зависит от вашей ОС и разрядности. Например, для Windows 10 версии 21H1 это KB5004237.
  3. Проверьте установленные обновления: bash wmic qfe list brief | findstr /C:"KB5004237" Или в PowerShell: powershell Get-HotFix -Id KB5004237

Рекомендация: Всегда применяйте последние накопительные ежемесячные обновления безопасности. Для автоматизации используйте WSUS или Microsoft Endpoint Configuration Manager.

Временное решение

Если немедленная установка обновления невозможна, рассмотрите следующие меры для снижения риска:

  1. Строгая политика учетных записей:

    • Соблюдайте принцип наименьших привилегий. Не предоставляйте обычным пользователям прав локального администратора.
    • Минимизируйте количество пользователей, которые могут локально входить на критически важные серверы.

  2. Мониторинг и обнаружение:

    • Включите аудит успешных и неуспешных попыток входа в систему (события 4624, 4625) и отслеживайте подозрительную активность.
    • Настройте сбор и анализ журналов с помощью SIEM-системы. Ищите аномальные вызовы процессов, связанных со службами (svchost.exe, userenv.dll).

  3. Ограничение возможностей выполнения кода:

    • Примените политики ограниченного использования программ (AppLocker) или WDAC (Windows Defender Application Control), чтобы разрешить запуск только доверенных приложений.
    • Используйте защитную функцию Microsoft Defender Exploit Guard, в частности, правила снижения рисков (Attack Surface Reduction, ASR), чтобы блокировать поведение, характерное для эксплуатации уязвимостей.

Важно: Эти меры не устраняют уязвимость, а лишь усложняют ее эксплуатацию. Установка обновления безопасности является обязательным и окончательным решением.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей