CVE-2023-24880

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-03-14

Официальное описание

Microsoft Windows SmartScreen contains a security feature bypass vulnerability that could allow an attacker to evade Mark of the Web (MOTW) defenses via a specially crafted malicious file.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-24880 — это уязвимость обхода функций безопасности (Security Feature Bypass) в компоненте Microsoft Windows SmartScreen. Проблема связана с некорректной обработкой специально сформированных файлов, которые позволяют злоумышленнику обойти механизм Mark of the Web (MOTW).

В штатном режиме при загрузке файла из интернета Windows присваивает ему альтернативный поток данных (ADS) Zone.Identifier. Это активирует защитные механизмы, такие как SmartScreen и "Защищенный просмотр" в Microsoft Office. Уязвимость позволяет создать файл с такой цифровой подписью, которая вызывает ошибку парсинга в модуле проверки, в результате чего система игнорирует метку MOTW и запускает вредоносный файл без предупреждения пользователя.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft, выпущенных в рамках "Patch Tuesday" за март 2023 года.

  1. Откройте "Параметры" (Settings) -> "Обновление и безопасность" (Update & Security).
  2. Нажмите "Проверить наличие обновлений" (Check for updates).
  3. Установите накопительный пакет обновления, соответствующий вашей версии ОС (например, KB5023706 для Windows 11 или KB5023697 для Windows 10).

Для принудительного запуска поиска обновлений через терминал используйте:

UsoClient StartScan

Для проверки, установлено ли обновление (на примере Windows 10 22H2):

get-hotfix -id KB5023697

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие компенсационные меры контроля:

  1. Настройка блокировки файлов с меткой MOTW через групповые политики (GPO) для приложений Office: Включите политику "Блокировать выполнение макросов в файлах из Интернета".

  2. Использование правил Windows Defender Application Control (WDAC) или AppLocker для ограничения запуска неподписанных или подозрительных исполняемых файлов из директорий загрузок.

  3. Повышение осведомленности пользователей: проинструктируйте персонал не открывать вложения в формате .js, .vbs или .msi от неизвестных отправителей, даже если система не выводит предупреждение SmartScreen.

  4. Мониторинг создания файлов с аномальными цифровыми подписями с помощью Sysmon (Event ID 7).

Для проверки наличия метки MOTW у подозрительного файла вручную:

Get-Content -Path "C:\path\to\file.exe" -Stream Zone.Identifier
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей