CVE-2021-41357

Microsoft Win32k

ВЕРОЯТНОСТЬ 5.5%
Дата обнаружения

2022-04-25

Официальное описание

Microsoft Win32k contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в компоненте Win32k.sys ядра Windows позволяет локальному пользователю с низкими привилегиями выполнить специально созданный код для повышения своих прав до уровня SYSTEM (администратора). Атакующий должен иметь возможность запустить программу на целевой системе.

Как исправить

Установите официальный патч от Microsoft. Обновление распространяется через Центр обновления Windows (Windows Update). Конкретный номер обновления зависит от версии вашей ОС:

  • Windows 10 версии 2004, 20H2, 21H1, 21H2: Установите накопительное обновление от 12 октября 2021 г. или новее. Например, KB5006670.
  • Windows Server 2019, Windows 10 версии 1809: Установите накопительное обновление от 12 октября 2021 г. или новее. Например, KB5006672.
  • Более старые поддерживаемые версии (Windows 8.1, Windows Server 2012 R2 и т.д.): Установите соответствующий патч из бюллетеня безопасности за октябрь 2021 г. (MS21-xxx).

Проверка установки патча: 1. Откройте Панель управления -> Программы и компоненты -> Просмотр установленных обновлений. 2. В списке найдите обновление с номером KB5006670, KB5006672 или другим, указанным в бюллетене для вашей ОС.

Временное решение

Прямых временных мер (например, отключение службы) для этой уязвимости на уровне ядра не существует. Если установка патча невозможна немедленно, примените следующие компенсирующие меры:

  1. Строгое соблюдение принципа наименьших привилегий:

    • Убедитесь, что у стандартных пользователей нет прав локального администратора.
    • Ограничьте физический и удаленный (RDP) доступ к критически важным серверам и рабочим станциям только для необходимого персонала.

  2. Аудит и мониторинг:

    • Включите и настройте аудит событий безопасности Windows для отслеживания попыток повышения привилегий (Event ID 4672, 4688).
    • Настройте SIEM-систему или EDR-решение на детектирование подозрительной активности, связанной с вызовом API ядра или созданием процессов с высоким уровнем целостности из процессов с низким уровнем.

  3. Изоляция:

    • Критически важные системы (например, контроллеры домена, серверы БД) должны быть максимально изолированы в сетевых сегментах.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей