CVE-2021-41379

Суть уязвимости

Уязвимость в службе Windows Installer (msi.dll) позволяет локальному пользователю с низкими привилегиями выполнить специально созданный исполняемый файл (.msi) для повышения своих прав до уровня SYSTEM. Для эксплуатации злоумышленнику необходим физический или удаленный доступ к системе (например, через RDP или скомпрометированную учетную запись).

Как исправить

Установите официальное обновление безопасности от Microsoft.

• Для Windows 10 (включая версии 2004, 20H2, 21H1): Установите накопительное обновление от 12 октября 2021 г. или новее.
  • Конкретный номер KB: KB5006670 (сборки ОС 19041.1288, 19042.1288, 19043.1288).
• Для Windows 11: Уязвимость была исправлена в первоначальной выпущенной версии. Убедитесь, что установлена актуальная сборка.
• Для Windows Server 2019, 2016, 2012 R2: Установите соответствующие накопительные обновления за октябрь 2021 года.

Способ установки: 1. Откройте Параметры Windows > Обновление и безопасность > Центр обновления Windows. 2. Нажмите "Проверить наличие обновлений" и установите все предлагаемые обновления, особенно категории "Качественные обновления". 3. Или установите обновление вручную из каталога Microsoft Update, выполнив поиск по номеру KB (например, KB5006670).

После установки перезагрузите систему.

Временное решение

Если немедленная установка обновления невозможна, ограничьте права пользователей для снижения риска.

1. Ограничьте локальные права пользователей: Убедитесь, что все учетные записи работают с минимально необходимыми привилегиями. Не предоставляйте обычным пользователям права администратора.
2. Контроль доступа к системе: Ужесточите политики удаленного доступа (RDP) и используйте многофакторную аутентификацию, чтобы усложнить получение злоумышленником начального доступа к системе.
3. Аудит и мониторинг: Включите аудит успешных и неуспешных попыток установки ПО (события Windows с источником MsiInstaller, ID 11707, 11724 и др.) и отслеживайте запуск процессов от имени SYSTEM необычными родительскими процессами.