CVE-2022-41033

Microsoft Windows COM+ Event System Service

ВЕРОЯТНОСТЬ 1.2%
Дата обнаружения

2022-10-11

Официальное описание

Microsoft Windows COM+ Event System Service contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-41033 представляет собой уязвимость типа Local Privilege Escalation (LPE) в службе системы событий COM+ (COM+ Event System Service) операционной системы Microsoft Windows. Проблема вызвана некорректной обработкой объектов в памяти, что позволяет локальному пользователю с низкими привилегиями выполнить произвольный код с правами системы (SYSTEM). Данная уязвимость классифицируется как "Zero-day", так как на момент обнаружения она уже эксплуатировалась злоумышленниками в реальных атаках.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft от октября 2022 года (Patch Tuesday).

  1. Проверьте наличие установленного обновления через PowerShell:
get-hotfix | Where-Object {$_.HotFixID -match "KB5018410" -or $_.HotFixID -match "KB5018418" -or $_.HotFixID -match "KB5018419"}
  1. Если обновления отсутствуют, инициируйте поиск и установку обновлений через Центр обновления Windows или используйте модуль PSWindowsUpdate:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot
  1. Для серверных систем скачайте соответствующий пакет обновления из каталога Microsoft Update (Microsoft Update Catalog), ориентируясь на версию вашей ОС (например, KB5018410 для Windows 10 21H2 или KB5018427 для Windows Server 2019).

Временные меры

Если немедленная установка патчей невозможна, рекомендуется принять следующие меры для снижения риска эксплуатации:

  1. Ограничьте права локальных пользователей и строго соблюдайте принцип наименьших привилегий (PoLP), чтобы затруднить первичный доступ злоумышленника в систему.

  2. Настройте аудит создания процессов и отслеживайте подозрительную активность, исходящую от системных процессов, особенно если родительским процессом для cmd.exe или powershell.exe становится служба, связанная с COM+.

  3. Используйте средства защиты конечных точек (EDR/AV) с актуальными сигнатурами и поведенческим анализом для обнаружения попыток эксплуатации LPE.

  4. В критических случаях, если функционал COM+ Event System не используется (что редкость для стандартных рабочих станций Windows), можно рассмотреть возможность остановки службы, однако это может привести к нестабильности системы:

Stop-Service -Name "EventSystem" -Force
Set-Service -Name "EventSystem" -StartupType Disabled
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей