CVE-2021-40450

Microsoft Win32k

ВЕРОЯТНОСТЬ 5.6%
Дата обнаружения

2022-04-25

Официальное описание

Microsoft Win32k contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в драйвере ядра win32k.sys позволяет локальному пользователю с низкими привилегиями выполнить произвольный код в режиме ядра. Это достигается через специально созданный вызов системной функции, который приводит к неправильной обработке объектов в памяти (use-after-free или аналогичная ошибка). В результате злоумышленник может повысить свои права до уровня SYSTEM и получить полный контроль над системой.

Как исправить

Установите официальное обновление безопасности от Microsoft. Конкретный патч зависит от версии вашей ОС Windows:

  • Windows 10 (все поддерживаемые версии, включая 21H1, 20H2, 2004, 1909): Установите накопительное обновление от 12 октября 2021 г. или новее.
    • Пример для Windows 10 21H1: Установите обновление KB5006670 (сборка ОС 19043.1288) или более позднее.
  • Windows Server 2019, 2016, 2012 R2: Установите соответствующие накопительные обновления за октябрь 2021 г.
    • Windows Server 2019: KB5006672

Действия: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Установите все предлагаемые обновления безопасности и накопительные обновления. 4. Перезагрузите систему.

Проверка установки (PowerShell):

Get-HotFix | Where-Object {$_.HotFixID -match "KB5006670|KB5006672"} | Select-Object HotFixID, InstalledOn

(Замените KB5006670|KB5006672 на номер KB, актуальный для вашей системы).

Временное решение

Прямых временных решений (workarounds) для этой конкретной уязвимости Microsoft не предоставила. Если установка патча невозможна немедленно, примите следующие ограничивающие меры:

  1. Строгое соблюдение принципа наименьших привилегий:

    • Убедитесь, что у обычных пользователей нет прав локального администратора.
    • Ограничьте физический и удаленный (RDP) доступ к критически важным серверам только для необходимого круга администраторов.

  2. Активация защит ядра (Windows Security):

    • Включите Control Flow Guard (CFG) и проверку подписи драйверов для усложнения эксплуатации.
    • Проверка (PowerShell): powershell Get-ProcessMitigation -System Убедитесь, что для ключевых параметров (например, CFG, DEP) установлено значение ON.

  3. Мониторинг и обнаружение:

    • Настройте SIEM или EDR-систему на отслеживание подозрительных действий, связанных с попытками повышения привилегий (например, создание процессов cmd.exe или powershell.exe из системных процессов, необычные вызовы API ядра).
    • Мониторьте журналы событий Windows (Event Viewer) на предмет событий с ID 4688 (создание процесса) с высоким уровнем целостности.

Важно: Эти меры лишь снижают риск атаки, но не устраняют саму уязвимость. Установка патча обязательна.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей