CVE-2021-40449

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-17

Официальное описание

Unspecified vulnerability allows for an authenticated user to escalate privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в драйвере win32k.sys (CVE-2021-40449) позволяет аутентифицированному пользователю с низкими привилегиями выполнить произвольный код в режиме ядра. Это достигается через специально созданный вызов системной функции, приводящий к повреждению памяти (use-after-free). В результате злоумышленник может получить полный контроль над системой (права SYSTEM).

Как исправить

Установите официальное обновление безопасности от Microsoft, которое устраняет эту уязвимость.

  • Для Windows 10 версии 2004, 20H2, 21H1, 21H2: Установите накопительное обновление от 12 октября 2021 г. или новее.
    • Номер обновления (KB): KB5006670 или более позднее из этой серии.
  • Для Windows Server 2022, Windows 11: Уязвимость была устранена в первоначальном выпуске. Убедитесь, что установлены все последние накопительные обновления.

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Установите все найденные обновления безопасности и накопительные обновления. 4. Перезагрузите систему.

Альтернативно (PowerShell с правами администратора):

Install-Module -Name PSWindowsUpdate -Force
Get-WindowsUpdate -AcceptAll -Install -AutoReboot

Временное решение

Если немедленная установка обновления невозможна, ограничьте возможность эксплуатации:

  1. Ограничение прав пользователей: Сведите к минимуму количество учетных записей с правами локального администратора. Все рядовые пользователи должны работать с обычными правами.
  2. Применение политик ограниченного использования программ (AppLocker) или WDAC: Настройте правила, разрешающие запуск только доверенных, подписанных исполняемых файлов и скриптов, чтобы блокировать выполнение произвольного кода.
  3. Включение контроля целостности памяти ядра (HVCI): Эта функция, часть Windows Defender System Guard, усложняет эксплуатацию уязвимостей в ядре. Требует поддержки оборудования и виртуализации.
    • Проверить статус можно в msinfo32 в разделе "Виртуализация на основе безопасности -> Выполнение кода в режиме ядра".
  4. Мониторинг и обнаружение: Настройте SIEM или EDR-систему на отслеживание подозрительных действий, связанных с эскалацией привилегий (например, создание процессов от имени SYSTEM непривилегированными пользователями, вызов уязвимых функций драйвера win32k).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей