CVE-2023-32046

Суть уязвимости

CVE-2023-32046 — это уязвимость повышения привилегий (Privilege Escalation) в движке Microsoft MSHTML (также известном как Trident), который используется в Internet Explorer, режиме IE в Microsoft Edge, а также для рендеринга контента в приложениях Office и Outlook.

Проблема заключается в некорректной обработке специально сформированных файлов или ссылок. Злоумышленник может эксплуатировать эту уязвимость, убедив пользователя открыть вредоносный файл или перейти по ссылке. В результате успешной атаки злоумышленник получает права того пользователя, который запустил приложение, что позволяет обходить защитные механизмы и выполнять произвольный код в контексте текущей сессии.

Как исправить

Основным и рекомендуемым способом устранения уязвимости является установка официальных обновлений безопасности Microsoft (Patch Tuesday, июль 2023 г.).

Для автоматического обновления через PowerShell:

Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -KBArticleID KB5028185

Для ручной установки необходимо скачать соответствующий пакет обновлений из Каталога Центра обновления Майкрософт (Microsoft Update Catalog) для вашей версии ОС (например, KB5028185 для Windows 10 22H2 или KB5028166 для Windows 11).

Проверка установки обновления:

get-hotfix -id KB5028185

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие меры для снижения поверхности атаки:

1. Использование политик ограничения запуска приложений (AppLocker или Windows Defender Application Control) для блокировки подозрительных процессов.

2. Настройка Microsoft Office для блокировки открытия файлов из интернета в режиме редактирования (Protected View).

3. Отключение обработки специфических протоколов через реестр (снижает риск автоматического запуска MSHTML):

reg delete "HKEY_CLASSES_ROOT\ms-msdt" /f

1. Усиление фильтрации входящего трафика в Outlook: блокировка получения файлов форматов .url, .htm, .html от внешних отправителей.