CVE-2022-41049

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-11-14

Официальное описание

Microsoft Windows Mark of the Web (MOTW) contains a security feature bypass vulnerability resulting in a limited loss of integrity and availability of security features.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-41049 представляет собой уязвимость обхода функций безопасности в механизме Microsoft Windows Mark of the Web (MOTW). MOTW — это специальная метка (Zone.Identifier), которая добавляется к файлам, загруженным из интернета, чтобы инициировать защитные механизмы, такие как SmartScreen или «Защищенный просмотр» в Microsoft Office.

Проблема заключалась в некорректной обработке специально сформированных архивных файлов или файлов с определенными атрибутами сигнатур. Злоумышленник мог создать файл, который при извлечении или запуске не получал метку MOTW, что позволяло вредоносному ПО запускаться без предупреждения пользователя и проверки системами безопасности.

Как исправить

Основным и наиболее эффективным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft от ноября 2022 года (или более поздних кумулятивных обновлений).

  1. Запустите поиск обновлений через Центр обновления Windows:
control /name Microsoft.WindowsUpdate
  1. Для автоматизированной установки необходимых патчей через PowerShell (требуется модуль PSWindowsUpdate):
Install-WindowsUpdate -MicrosoftUpdate -KBArticleID KB5019966, KB5019964 -AcceptAll -AutoReboot

(Примечание: Номера KB могут варьироваться в зависимости от версии ОС. Рекомендуется устанавливать последний доступный Cumulative Update).

Временные меры

Если немедленная установка патчей невозможна, необходимо применить меры по снижению рисков (Mitigation), направленные на ограничение обработки подозрительных файлов.

  1. Обновите Microsoft Defender до актуальных сигнатур, так как в них добавлены правила обнаружения попыток эксплуатации данной уязвимости:
Update-MpSignature
  1. Включите блокировку запуска скриптов и подозрительных файлов, не имеющих метки MOTW, через политики Attack Surface Reduction (ASR), если используется Microsoft Defender for Endpoint:
Add-MpPreference -AttackSurfaceReductionRules_Ids 3b576869-bbde-4c5d-baee-cedba4d73374 -AttackSurfaceReductionRules_Actions Enabled
  1. Настройте политики SmartScreen для проверки всех загружаемых файлов, принудительно включив их через реестр:
Set-ItemProperty -Path "HKLM\SOFTWARE\Policies\Microsoft\Windows\System" -Name "EnableSmartScreen" -Value 1
  1. Рекомендуется временно ограничить использование сторонних архиваторов, которые могут некорректно обрабатывать зону происхождения файла при распаковке, и использовать встроенные средства Windows.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей