CVE-2022-44698

Microsoft Defender

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-12-13

Официальное описание

Microsoft Defender SmartScreen contains a security feature bypass vulnerability that could allow an attacker to evade Mark of the Web (MOTW) defenses via a specially crafted malicious file.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2022-44698 представляет собой уязвимость обхода функций безопасности в Microsoft Defender SmartScreen. Проблема связана с некорректной обработкой специально сформированных файлов, имеющих цифровую подпись.

Злоумышленник может создать вредоносный файл (например, JavaScript-файл или MSI-пакет) с дефектной, но специфическим образом оформленной подписью. При загрузке такого файла из интернета система не присваивает ему метку Mark of the Web (MOTW). В результате защитные механизмы, такие как SmartScreen и Protected View в Microsoft Office, не срабатывают, позволяя вредоносному коду запуститься без предупреждения пользователя.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft, выпущенных в декабре 2022 года.

  1. Откройте «Параметры» -> «Обновление и безопасность» -> «Центр обновления Windows».
  2. Нажмите «Проверить наличие обновлений».
  3. Установите накопительный пакет обновлений, соответствующий вашей версии ОС (например, KB5021233 для Windows 10 или KB5021255 для Windows 11).

Для принудительного запуска поиска обновлений через терминал выполните:

Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие меры для снижения риска:

  1. Настройка блокировки файлов с меткой MOTW через групповые политики (GPO) для приложений Office: Включите параметр «Блокировать запуск макросов в файлах из Интернета».

  2. Использование политик AppLocker или Windows Defender Application Control (WDAC) для ограничения запуска неподписанных или подозрительных скриптов (JS, VBS).

  3. Повышение осведомленности пользователей: запрет на открытие вложений от недоверенных отправителей, даже если система не выдает предупреждение безопасности.

  4. Проверка наличия меток MOTW вручную через PowerShell для подозрительных файлов:

Get-Item "C:\path\to\file.js" -Stream "Zone.Identifier"

Примечание: Если команда возвращает ошибку, значит метка MOTW отсутствует, и файл может быть опасен.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей