CVE-2022-41091

Microsoft Windows

ВЕРОЯТНОСТЬ 7.6%
Дата обнаружения

2022-11-08

Официальное описание

Microsoft Windows Mark of the Web (MOTW) contains a security feature bypass vulnerability resulting in a limited loss of integrity and availability of security features.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-41091 — это уязвимость обхода функций безопасности в механизме Microsoft Windows Mark of the Web (MOTW). MOTW — это специальная метка (Alternate Data Stream Zone.Identifier), которая наносится на файлы, загруженные из интернета или других ненадежных источников. Эта метка заставляет систему вызывать защитные механизмы, такие как SmartScreen или "Защищенный просмотр" в Microsoft Office.

Уязвимость позволяет злоумышленнику создать специально подготовленный файл (например, внутри ZIP-архива или ISO-образа), который при извлечении или запуске не получает метку MOTW. В результате вредоносное ПО запускается без предупреждений системы безопасности, что позволяет обойти проверку SmartScreen и другие политики контроля целостности.

Как исправить

Основным и рекомендуемым способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft, выпущенных в рамках "Patch Tuesday" в ноябре 2022 года.

  1. Запустите поиск обновлений через Центр обновления Windows:
control /name Microsoft.WindowsUpdate
  1. Для системных администраторов (развертывание через WSUS или SCCM): Необходимо убедиться, что установлены накопительные пакеты обновления (Cumulative Updates) за ноябрь 2022 года или более поздние для соответствующих версий ОС:
  2. Windows 10 (все поддерживаемые версии)
  3. Windows 11 (21H2, 22H2)

  4. Windows Server (2016, 2019, 2022)

  5. Проверка версии установленного обновления через PowerShell:

Get-HotFix | Where-Object {$_.HotFixID -eq "KB5019961" -or $_.HotFixID -eq "KB5019966" -or $_.HotFixID -eq "KB5019980"}

Временные меры

Если немедленная установка патчей невозможна, следует применить следующие меры для снижения риска:

  1. Блокировка монтирования образов дисков (ISO, VHD, VHDX) через групповые политики, так как они часто используются для доставки файлов без MOTW:
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\Explorer" -Name "NoDriveTypeAutoRun" -Value 255 -Type DWord

  1. Настройка Microsoft Defender SmartScreen на блокировку запуска неопознанных приложений (через GPO): Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Проводник -> Настроить Windows SmartScreen — установить в значение "Включено" и выбрать "Требовать утверждения администратором".

  2. Использование политик ограничения программного обеспечения (AppLocker или Windows Defender Application Control) для запрета запуска скриптов и исполняемых файлов из временных папок и архивов.

  3. Обучение пользователей не открывать вложения в письмах от недоверенных отправителей, особенно если они упакованы в архивы или образы дисков.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей