CVE-2022-22047

Microsoft Windows

ВЕРОЯТНОСТЬ 1.3%
Дата обнаружения

2022-07-12

Официальное описание

Microsoft Windows CSRSS contains an unspecified vulnerability that allows for privilege escalation to SYSTEM privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-22047 представляет собой критическую уязвимость в подсистеме Client/Server Runtime Subsystem (CSRSS) операционной системы Microsoft Windows. Проблема связана с некорректной обработкой вызовов в процессе управления объектами, что позволяет локальному злоумышленнику выполнить произвольный код.

Уязвимость относится к классу Privilege Escalation (LPE). При успешной эксплуатации атакующий, имеющий доступ к системе с низкими привилегиями, может повысить свои права до уровня SYSTEM. Это дает полный контроль над скомпрометированным узлом, позволяя устанавливать программы, изменять данные и создавать новые учетные записи с правами администратора.

Как исправить

Основным и единственным надежным способом устранения данной уязвимости является установка официальных обновлений безопасности от Microsoft, выпущенных в рамках "Patch Tuesday" за июль 2022 года или более поздних кумулятивных обновлений.

Для автоматического обновления через Windows Update:

Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -KBArticleID KB5015807

Для ручной установки необходимо скачать соответствующий пакет из Microsoft Update Catalog для вашей версии ОС (например, KB5015807 для Windows 10 или KB5015814 для Windows 11).

Проверка версии установленного обновления:

get-hotfix -id KB5015807

Временные меры

Специфических обходных путей (workarounds) или изменений в реестре, которые могли бы полностью нейтрализовать CVE-2022-22047 без установки патча, не существует. Однако для снижения рисков рекомендуется выполнить следующие действия:

  1. Ограничение прав пользователей: Соблюдайте принцип наименьших привилегий (PoLP), исключив обычных пользователей из группы локальных администраторов.

  2. Мониторинг подозрительной активности: Настройте аудит создания процессов и отслеживайте аномальное поведение, связанное с процессом csrss.exe.

auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable

  1. Использование средств защиты: Убедитесь, что на конечных точках развернуты системы EDR/AV с актуальными сигнатурами, способные детектировать известные эксплойты для повышения привилегий.

  2. Изоляция критических систем: Минимизируйте возможность интерактивного входа пользователей на серверы, где установка обновлений временно невозможна.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей