CVE-2022-24521

Microsoft Windows

ВЕРОЯТНОСТЬ 8.7%
Дата обнаружения

2022-04-13

Официальное описание

Microsoft Windows Common Log File System (CLFS) Driver contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в драйвере CLFS (Common Log File System) в Microsoft Windows позволяет локальному пользователю с низкими привилегиями выполнить специально созданный код для повышения своих прав до уровня SYSTEM. Это достигается за счет некорректной обработки объектов в памяти драйвером clfs.sys.

Как исправить

Установите официальное обновление безопасности от Microsoft, устраняющее эту уязвимость.

  1. Определите свою версию Windows (например, Windows 10, Windows 11, Windows Server 2022).
  2. Установите соответствующее накопительное обновление (KB) за апрель 2022 года или новее. Конкретно для этой CVE требуются:
    • Windows 10 версии 20H2, 21H1, 21H2: Установите обновление KB5012592 (или более новое).
    • Windows 11: Установите обновление KB5012592 (или более новое).
    • Windows Server 2022: Установите обновление KB5012592 (или более новое).
  3. Способ установки:
    • Через Центр обновления Windows (Настройки > Обновление и безопасность).
    • Вручную из каталога Microsoft Update: https://www.catalog.update.microsoft.com/Search.aspx?q=KB5012592
    • Для серверов используйте Windows Server Update Services (WSUS).

После установки обновления перезагрузите систему.

Временное решение

Если немедленная установка обновления невозможна, рассмотрите следующие меры для снижения риска:

  1. Ограничение локального доступа: Минимизируйте количество пользователей, имеющих возможность локального входа на уязвимые системы, особенно серверы.
  2. Принцип наименьших привилегий: Убедитесь, что все пользовательские учетные записи работают с минимально необходимыми правами. Отключите права администратора там, где это возможно.
  3. Контроль учетных записей (UAC): Убедитесь, что UAC включен и настроен на максимальный уровень уведомлений (по умолчанию). Это не блокирует эксплуатацию, но усложняет ее.
  4. Мониторинг и обнаружение: Настройте SIEM или антивирусное ПО на отслеживание подозрительной активности, связанной с драйверами (clfs.sys) или попытками создания процессов с высокими привилегиями из-под обычных учетных записей.
    • Пример сигнатуры для мониторинга (концепт): ParentImage endswith "\userinit.exe" AND Image endswith "\cmd.exe" AND IntegrityLevel == "High"

Важно: Эти меры не устраняют уязвимость, а лишь усложняют ее использование. Установка официального патча — обязательное и первоочередное действие.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей