CVE-2022-41125

Microsoft Windows

ВЕРОЯТНОСТЬ 0.7%
Дата обнаружения

2022-11-08

Официальное описание

Microsoft Windows Cryptographic Next Generation (CNG) Key Isolation Service contains an unspecified vulnerability that allows an attacker to gain SYSTEM-level privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-41125 представляет собой уязвимость типа Elevation of Privilege (EoP) в службе изоляции ключей Microsoft Windows Cryptographic Next Generation (CNG). Проблема вызвана некорректной обработкой данных в памяти или проверкой прав доступа внутри службы KeyIso.

Локальный злоумышленник с низким уровнем привилегий может запустить специально подготовленное приложение, которое взаимодействует со службой CNG, чтобы вызвать состояние ошибки или переполнение, позволяющее выполнить произвольный код в контексте безопасности NT AUTHORITY\SYSTEM. Это дает атакующему полный контроль над целевой системой.

Как исправить

Основным и рекомендуемым способом устранения уязвимости является установка официальных обновлений безопасности Microsoft (Patch Tuesday), выпущенных в ноябре 2022 года или позже.

  1. Откройте «Параметры» > «Обновление и безопасность» > «Центр обновления Windows».
  2. Нажмите «Проверить наличие обновлений».
  3. Установите все доступные накопительные обновления (Cumulative Updates).

Для автоматизации процесса на множестве хостов через PowerShell используйте модуль PSWindowsUpdate:

Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Если вы загружаете обновления вручную из Microsoft Update Catalog, убедитесь, что установлены пакеты, соответствующие вашей версии ОС (например, KB5019961 для Windows 10 или KB5019966 для Windows 11).

Временные меры

Если немедленная установка патчей невозможна, необходимо минимизировать риски с помощью следующих шагов:

  1. Ограничение физического и логического доступа: так как уязвимость требует локального запуска кода, ограничьте доступ к системе через RDP и другие средства удаленного управления для непривилегированных пользователей.

  2. Мониторинг подозрительных процессов: настройте аудит создания процессов (Event ID 4688) и следите за дочерними процессами службы lsass.exe (в которой хостится KeyIso), которые запускаются с системными правами.

  3. Использование EDR/AV: убедитесь, что ваши средства защиты конечных точек используют актуальные сигнатуры и поведенческий анализ для обнаружения попыток эксплуатации уязвимостей в системных службах.

  4. Проверка целостности системных файлов:

sfc /scannow

Примечание: Полного программного способа «отключить» уязвимую функцию без нарушения работы криптографических механизмов Windows (таких как Wi-Fi, VPN и вход в систему) не существует, поэтому установка патча является критически важной.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей