CVE-2021-36948

Microsoft Windows

ВЕРОЯТНОСТЬ 1.1%
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Windows Update Medic Service contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в службе Windows Update Medic Service (WaaSMedicSVC) позволяет локальному злоумышленнику, уже имеющему возможность выполнять код с правами обычного пользователя, повысить свои привилегии до уровня SYSTEM. Это достигается за счет неправильной обработки файловых операций и проверки прав доступа в службе.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный патч зависит от версии вашей ОС Windows 10 или Windows Server:

  • Windows 10 версии 2004, 20H2, 21H1: Установите накопительное обновление от 10 августа 2021 г. или новее. Например, KB5005033 (обновление от 10.08.2021).
  • Windows Server 2019, Windows 10 версии 1809: Установите накопительное обновление от 10 августа 2021 г. или новее. Например, KB5005043 (обновление от 10.08.2021).
  • Более старые поддерживаемые версии: Установите соответствующие накопительные обновления за август 2021 года.

Порядок действий: 1. Откройте Параметры Windows > Обновление и безопасность > Центр обновления Windows. 2. Нажмите "Проверить наличие обновлений" и установите все предлагаемые обновления, особенно помеченные как "качественные". 3. Для проверки установленных обновлений выполните в PowerShell: powershell Get-HotFix | Where-Object {$_.HotFixID -match "KB5005033|KB5005043"} (Подставьте нужный номер KB).

Временное решение

Если немедленная установка обновления невозможна, ограничьте права доступа к ключевой папке, используемой службой.

  1. Ограничьте доступ к папке C:\Windows\System32\WaaSMedicSvc:

    • Откройте проводник, перейдите в C:\Windows\System32.
    • Найдите папку WaaSMedicSvc, щелкните по ней правой кнопкой мыши и выберите "Свойства".
    • Перейдите на вкладку "Безопасность" > "Дополнительно".
    • Убедитесь, что права доступа установлены только для:
      • SYSTEM (Полный доступ)
      • Администраторы (Полный доступ)
      • TrustedInstaller (Полный доступ)
    • Удалите все остальные учетные записи и убедитесь, что наследование отключено. Внимание: Неправильные настройки могут нарушить работу Центра обновления Windows.

  2. Альтернативный метод через PowerShell (требует прав администратора): ```powershell # Снять наследование и удалить все текущие правила $folderPath = "C:\Windows\System32\WaaSMedicSvc" $acl = Get-Acl $folderPath $acl.SetAccessRuleProtection($true, $false)

    Добавить правило для SYSTEM

    $systemRule = New-Object System.Security.AccessControl.FileSystemAccessRule("SYSTEM", "FullControl", "ContainerInherit,ObjectInherit", "None", "Allow") $acl.AddAccessRule($systemRule)

    Добавить правило для администраторов (замените 'YourDomain' на имя вашего домена или компьютера)

    $adminRule = New-Object System.Security.AccessControl.FileSystemAccessRule("BUILTIN\Administrators", "FullControl", "ContainerInherit,ObjectInherit", "None", "Allow") $acl.AddAccessRule($adminRule)

    Применить новые настройки ACL

    Set-Acl -Path $folderPath -AclObject $acl ``` Важно: Это временная мера. Установите официальный патч при первой возможности.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей