CVE-2023-28229

Microsoft Windows CNG Key Isolation Service

ВЕРОЯТНОСТЬ 7.2%
Дата обнаружения

2023-10-04

Официальное описание

Microsoft Windows Cryptographic Next Generation (CNG) Key Isolation Service contains an unspecified vulnerability that allows an attacker to gain specific limited SYSTEM privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-28229 представляет собой уязвимость, связанную с повышением привилегий (Elevation of Privilege) в службе изоляции ключей Microsoft Windows Cryptographic Next Generation (CNG). Проблема возникает из-за некорректной обработки определенных вызовов в процессе взаимодействия со службой KeyIso.

Злоумышленник, имеющий локальный доступ к системе с низкими привилегиями, может запустить специально созданное приложение для эксплуатации этой уязвимости. Успешная атака позволяет выйти за пределы ограничений пользовательского контекста и получить ограниченные привилегии уровня SYSTEM. Это может быть использовано как промежуточный этап для полной компрометации хоста или бокового перемещения (lateral movement) внутри сети.

Как исправить

Основным и рекомендуемым способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft, выпущенных в рамках "Patch Tuesday" в апреле 2023 года или более поздних кумулятивных обновлений.

  1. Проверьте наличие установленных обновлений через PowerShell:
Get-HotFix | Where-Object {$_.HotFixID -match "KB5025221" -or $_.HotFixID -match "KB5025224"}
  1. Если обновления отсутствуют, инициируйте поиск и установку обновлений:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot
  1. Для ручной установки скачайте соответствующий пакет из Каталога обновления Microsoft (Microsoft Update Catalog) для вашей версии ОС (например, Windows 10, 11 или Windows Server 2019/2022).

Временные меры

Если немедленная установка патчей невозможна, следует применить меры по снижению рисков, направленные на ограничение векторов атаки:

  1. Ограничение прав локальных пользователей: Убедитесь, что обычные пользователи не имеют прав администратора и не могут запускать недоверенный исполняемый код.

  2. Настройка аудита доступа к объектам: Включите аудит процессов, чтобы отслеживать подозрительную активность, связанную со службой lsass.exe и keyiso.dll.

auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable

  1. Использование средств защиты конечных точек (EDR/AV): Настройте правила обнаружения для мониторинга аномальных вызовов RPC к службе изоляции ключей CNG.

  2. Изоляция критических систем: Для серверов, выполняющих роль контроллеров домена или центров сертификации, ограничьте возможность интерактивного входа для непривилегированных учетных записей.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей