CVE-2021-34486

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-28

Официальное описание

Microsoft Windows Event Tracing contains an unspecified vulnerability which can allow for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в компоненте Event Tracing для Windows (ETW) позволяет локальному злоумышленнику, уже имеющему возможность выполнить код в системе с низкими привилегиями, повысить свои права до уровня SYSTEM. Это достигается за счет некорректной обработки объектов ядра, связанных с трассировкой событий.

Как исправить

Установите официальный патч от Microsoft. Уязвимость устранена в ежемесячных накопительных обновлениях безопасности.

  • Для Windows 10 версии 2004, 20H2, 21H1: Установите обновление KB5004237 (от 13 июля 2021 г.) или более позднее.
  • Для Windows Server 2019: Установите обновление KB5004238 (от 13 июля 2021 г.) или более позднее.
  • Для других поддерживаемых версий Windows: Найдите и установите соответствующее накопительное обновление безопасности за июль 2021 года (или новее) через Центр обновления Windows или каталог обновлений Microsoft.

Проверка установки патча: 1. Откройте командную строку (cmd) от имени администратора. 2. Выполните команду: bash wmic qfe list | findstr "5004237 5004238" (Или проверьте установленные обновления в Панель управления -> Программы -> Просмотр установленных обновлений).

Временное решение

Если немедленная установка обновления невозможна, рассмотрите следующие меры для снижения риска:

  1. Снижение прав пользователей: Обеспечьте соблюдение принципа наименьших привилегий. Убедитесь, что обычные пользователи работают без прав локального администратора. Это усложнит первоначальный этап атаки.
  2. Контроль учетных записей (UAC): Убедитесь, что UAC включен и работает в режиме по умолчанию (не "Никогда не уведомлять"). Это может помешать некоторым методам эксплуатации.
  3. Аудит и мониторинг: Настройте сбор и анализ журналов безопасности Windows (Event ID 4688, 4697) для обнаружения подозрительной активности, связанной с созданием процессов с высокими привилегиями или манипуляциями с ETW.
  4. Запуск критических служб в изолированной среде: По возможности, запускайте уязвимые или критически важные службы в виртуальных машинах или контейнерах с ограниченным доступом к основной ОС.

Важно: Эти меры не устраняют уязвимость, а лишь усложняют её эксплуатацию. Установка официального патча является обязательным и единственным надежным решением.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей