CVE-2021-36955

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Microsoft Windows Common Log File System (CLFS) driver contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в драйвере Common Log File System (CLFS) в Windows позволяет локальному пользователю с низкими привилегиями выполнить произвольный код в режиме ядра. Злоумышленник, успешно воспользовавшийся этой уязвимостью, может получить права уровня SYSTEM и полный контроль над системой.

Как исправить

Установите официальное обновление безопасности от Microsoft. Уязвимость устранена в ежемесячных накопительных обновлениях.

  • Для Windows 10 версии 2004, 20H2, 21H1, 21H2: Установите обновление KB5005565 (или более позднее из ежемесячного цикла обновлений) от 14 сентября 2021 г.
  • Для Windows 11: Уязвимость была устранена в исходной версии ОЗ. Убедитесь, что установлены последние накопительные обновления.
  • Для Windows Server 2022: Установите обновление KB5005565 (или более позднее) от 14 сентября 2021 г.

Проверка установки обновления: 1. Откройте PowerShell от имени администратора. 2. Выполните команду: powershell Get-HotFix -Id KB5005565 Если обновление установлено, команда вернет информацию о нем. Если нет — результата не будет.

Установка обновления (если отсутствует): 1. Откройте Параметры > Обновление и безопасность > Центр обновления Windows. 2. Нажмите Проверить наличие обновлений и установите все предлагаемые обновления, особенно с пометкой "Накопительное обновление безопасности".

Временное решение

Если немедленная установка обновления невозможна, рассмотрите следующие меры для снижения риска:

  • Ограничьте локальный доступ. Уязвимость требует наличия локальной учетной записи на целевой машине. Строго контролируйте, у кого есть права локального входа на критически важные серверы и рабочие станции.
  • Примените принцип наименьших привилегий. Убедитесь, что обычные пользователи работают с минимально необходимыми правами. Не предоставляйте обычным учетным записям права локального администратора.
  • Мониторинг и обнаружение. Настройте SIEM-систему или Microsoft Defender для обнаружения подозрительной активности, связанной с попытками эскалации привилегий (например, неожиданный запуск процессов от имени SYSTEM из-под учетных записей обычных пользователей).
  • Изолируйте системы. Критически важные серверы должны быть изолированы в отдельных сетевых сегментах с ограничением доступа по принципу "need-to-know".

Важно: Эти меры лишь снижают вероятность эксплуатации и не устраняют саму уязвимость. Установка обновления безопасности является единственным полным решением.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей