CVE-2023-21674

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-01-10

Официальное описание

Microsoft Windows Advanced Local Procedure Call (ALPC) contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-21674 представляет собой критическую уязвимость типа Use-After-Free (использование памяти после освобождения) в компоненте Windows Advanced Local Procedure Call (ALPC). ALPC — это механизм межпроцессного взаимодействия, используемый внутри ОС Windows для быстрой и безопасной передачи данных между процессами.

Уязвимость позволяет локальному злоумышленнику с низким уровнем привилегий выполнить побег из песочницы (sandbox escape) и повысить свои права до уровня SYSTEM. Особенность данной бреши заключается в том, что она может быть использована в цепочках атак на браузеры и другие изолированные приложения для получения полного контроля над целевым узлом.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft (Patch Tuesday), выпущенных в январе 2023 года или позже.

  1. Проверьте текущую версию ОС и наличие установленных обновлений:
Get-HotFix | Where-Object {$_.HotFixID -eq "KB5022282" -or $_.HotFixID -eq "KB5022286" -or $_.HotFixID -eq "KB5022303"}
  1. Запустите процесс обновления через Windows Update:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot
  1. Если автоматическое обновление недоступно, скачайте соответствующий пакет KB для вашей версии Windows из Microsoft Update Catalog и установите его вручную:
wusa.exe C:\path\to\downloaded\patch.msu /quiet /norestart

Временные меры

Для данной уязвимости не существует специфических конфигурационных изменений (workarounds) или правок в реестре, которые могли бы полностью нейтрализовать вектор атаки без установки патча. В качестве общих мер по снижению риска рекомендуется:

  1. Соблюдение принципа наименьших привилегий (PoLP) для ограничения возможностей локальных пользователей.
  2. Использование современных средств защиты конечных точек (EDR/AV) с актуальными сигнатурами для обнаружения эксплойтов, нацеленных на повышение привилегий.
  3. Мониторинг подозрительной активности процессов, запускаемых из браузеров или почтовых клиентов, с помощью Sysmon:
sysmon -c sysmonconfig-export.xml
  1. Изоляция критически важных систем и ограничение возможности запуска неавторизованного исполняемого кода.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей