CVE-2023-29360

Microsoft Streaming Service

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-02-29

Официальное описание

Microsoft Streaming Service contains an untrusted pointer dereference vulnerability that allows for privilege escalation, enabling a local attacker to gain SYSTEM privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-29360 представляет собой уязвимость типа «разыменование доверенного указателя» (Untrusted Pointer Dereference) в драйвере Microsoft Streaming Service (mskssrv.sys). Проблема возникает из-за некорректной валидации входных данных, передаваемых из пользовательского режима в режим ядра через IOCTL-запросы. Локальный злоумышленник с низким уровнем привилегий может отправить специально сформированный запрос, который заставит драйвер обратиться к произвольному адресу памяти. Это позволяет выполнить произвольный код в контексте ядра и повысить привилегии до уровня SYSTEM.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft (Patch Tuesday, июнь 2023 г.).

  1. Проверьте текущую версию ОС и наличие установленных обновлений:
Get-HotFix -Id KB5027215, KB5027219, KB5027223, KB5027231
  1. Запустите поиск и установку обновлений через Windows Update:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot
  1. Для серверных систем скачайте соответствующий пакет обновления из Microsoft Update Catalog, ориентируясь на версию вашей ОС (Windows 10, 11 или Windows Server 2016-2022).

Временные меры

Если немедленная установка патчей невозможна, рекомендуется минимизировать риски следующими способами:

  1. Ограничьте права локальных пользователей, следуя принципу наименьших привилегий (PoLP), чтобы затруднить запуск эксплойтов.

  2. Настройте аудит создания процессов для мониторинга подозрительной активности:

auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable

  1. Используйте средства защиты конечных точек (EDR/AV) с актуальными сигнатурами для обнаружения попыток эксплуатации известных уязвимостей повышения привилегий (LPE).

  2. В критических случаях, если служба потоковой передачи не используется, рассмотрите возможность отключения драйвера mskssrv.sys через реестр (требует тестирования на совместимость):

Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\mskssrv" -Name "Start" -Value 4
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей