CVE-2023-29336

Microsoft Win32k

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-05-09

Официальное описание

Microsoft Win32k contains an unspecified vulnerability that allows for privilege escalation up to SYSTEM privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-29336 представляет собой уязвимость типа Integer Overflow (целочисленное переполнение) в драйвере ядра Windows win32k.sys. Проблема локализована в компоненте Window Manager.

Эксплуатация данной уязвимости позволяет локальному пользователю с низким уровнем привилегий выполнить произвольный код в контексте ядра. В результате атакующий может полностью скомпрометировать систему, получив максимальные права уровня SYSTEM. Уязвимость относится к классу Local Privilege Escalation (LPE) и активно использовалась злоумышленниками в реальных атаках (0-day) до выхода патча.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft, выпущенных в рамках "Patch Tuesday" в мае 2023 года или более поздних накопительных обновлений.

  1. Для автоматического обновления через Windows Update:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -KBArticleID KB5026361

(Примечание: Номер KB может отличаться в зависимости от версии ОС. Для Windows 10 22H2 это KB5026361, для Windows 11 22H2 — KB5026372).

  1. Проверка версии установленного драйвера win32kfull.sys (версия должна быть выше или равна исправленной для вашей сборки):
(Get-Item C:\Windows\System32\win32kfull.sys).VersionInfo.FileVersion
  1. Перезагрузка системы для применения изменений в ядре:
Restart-Computer

Временные меры

Поскольку уязвимость находится на уровне ядра в критическом компоненте Win32k, полноценных обходных путей (workarounds) без установки патча не существует. Однако для снижения риска можно предпринять следующие шаги:

  1. Ограничение использования Win32k системных вызовов с помощью AppLocker или Windows Defender Application Control (WDAC) для подозрительных процессов.

  2. Использование политик фильтрации системных вызовов (System Call Filtering) для браузеров и других приложений с большой поверхностью атаки:

Set-ProcessMitigation -Name "chrome.exe" -Enable DisableWin32kSystemCalls

  1. Мониторинг подозрительной активности с помощью EDR/Sysmon на предмет аномального повышения привилегий процессами, которые обычно работают с правами пользователя.

  2. Изоляция критически важных систем от прямого доступа непривилегированных пользователей до момента установки обновлений.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей