CVE-2023-21823

Microsoft Windows

ВЕРОЯТНОСТЬ 5.2%
Дата обнаружения

2023-02-14

Официальное описание

Microsoft Windows Graphic Component contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-21823 представляет собой критическую уязвимость в графическом компоненте Microsoft Windows (Windows Graphics Component), которая позволяет локальному пользователю повысить свои привилегии до уровня SYSTEM. Проблема связана с некорректной обработкой объектов в памяти, что дает злоумышленнику возможность выполнить произвольный код с максимальными правами в операционной системе. Уязвимость затрагивает широкий спектр версий Windows, включая Windows 10, Windows 11 и Windows Server 2019/2022.

Как исправить

Основным методом устранения является установка официальных обновлений безопасности Microsoft, выпущенных в рамках Patch Tuesday (февраль 2023 г.). В отличие от стандартных системных патчей, исправление для этой уязвимости распространяется через магазин приложений Microsoft Store.

  1. Обновление через Microsoft Store: Откройте приложение Microsoft Store, перейдите в раздел «Библиотека» (Library) и нажмите «Получить обновления» (Get updates). Убедитесь, что компонент «Пакет мультимедиа-кодеков» или специфические графические драйверы обновлены.

  2. Принудительное обновление через PowerShell (для системных администраторов):

Get-CimInstance -Namespace root/Microsoft/Windows/Appx -ClassName MSFT_AppxPackage | Where-Object { $_.Name -like "*Graphics*" } | ForEach-Object { Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppxManifest.xml" }
  1. Проверка наличия установленного патча (KB): Убедитесь, что в системе установлены накопительные обновления за февраль 2023 года или более поздние. Для Windows 10/11 это можно проверить командой:
get-hotfix | where-object {$_.HotFixID -match "KB5022845" -or $_.HotFixID -match "KB5022834" -or $_.HotFixID -match "KB5022836"}

Временные меры

Если немедленная установка обновлений невозможна, рекомендуется принять следующие меры для снижения риска эксплуатации:

  1. Ограничение прав пользователей: Убедитесь, что конечные пользователи работают под учетными записями с ограниченными правами (Standard User), так как для эксплуатации уязвимости требуется локальный доступ.

  2. Изоляция критических узлов: На серверах, где не используется графический интерфейс или специализированные мультимедийные приложения, минимизируйте запуск недоверенного ПО.

  3. Мониторинг подозрительной активности: Настройте аудит создания процессов (Event ID 4688) и отслеживайте запуск подозрительных дочерних процессов от имени системных графических служб.

auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей