CVE-2021-43226

Суть уязвимости

Уязвимость CVE-2021-43226 кроется в драйвере файловой системы общих журналов Microsoft Windows (Common Log File System — clfs.sys). Ошибка возникает из-за некорректной обработки объектов в памяти на уровне ядра. Локальный злоумышленник, уже имеющий базовый доступ к системе, может запустить специально созданное приложение для эксплуатации этой уязвимости. Успешная эксплуатация приводит к повышению привилегий (Elevation of Privilege) до уровня SYSTEM, что позволяет атакующему обойти встроенные механизмы защиты, закрепиться в системе и выполнить произвольный код с максимальными правами.

Как исправить

Единственным надежным и официально поддерживаемым способом устранения данной уязвимости является установка обновлений безопасности от Microsoft, выпущенных в декабре 2021 года (Patch Tuesday), либо любых более новых накопительных обновлений (Cumulative Updates).

Вы можете установить обновления через графический интерфейс Центра обновления Windows или использовать PowerShell для автоматизации процесса на множестве хостов.

Установка модуля для управления обновлениями:

Install-Module -Name PSWindowsUpdate -Force -SkipPublisherCheck

Поиск и установка всех доступных обновлений безопасности с автоматической перезагрузкой:

Install-WindowsUpdate -AcceptAll -AutoReboot

После перезагрузки проверьте версию драйвера clfs.sys, чтобы убедиться, что система использует пропатченную версию файла:

Get-Item -Path "C:\Windows\System32\drivers\clfs.sys" | Select-Object -ExpandProperty VersionInfo

Временные меры

Драйвер clfs.sys является критически важным компонентом ядра Windows (он используется для управления транзакциями NTFS, работы реестра и системных логов). Его отключение, переименование или удаление гарантированно приведет к критическому сбою операционной системы (BSOD). Прямых обходных путей (workarounds) для данной уязвимости не существует.

До момента установки патча необходимо применять следующие компенсирующие меры защиты: * Строго соблюдайте принцип наименьших привилегий (PoLP). Ограничьте права пользователей и запретите запуск неавторизованных исполняемых файлов (например, с помощью AppLocker или Windows Defender Application Control). * Настройте EDR-решения на мониторинг аномальной активности, связанной с процессом System (PID 4), так как эксплуатация уязвимостей ядра часто отражается на поведении этого процесса. * Отслеживайте создание подозрительных дочерних процессов от системных служб и попытки несанкционированного доступа к памяти ядра. * Используйте Sysmon (Event ID 11 и Event ID 1) для выявления подозрительных файлов, сбрасываемых на диск перед попыткой повышения привилегий.

Для аудита текущих событий, связанных с драйверами, можно использовать следующую команду:

Get-WinEvent -FilterHashtable @{LogName='System'; Id=7045} -MaxEvents 50