CVE-2023-32049

Microsoft Windows

ВЕРОЯТНОСТЬ 9.1%
Дата обнаружения

2023-07-11

Официальное описание

Microsoft Windows Defender SmartScreen contains a security feature bypass vulnerability that allows an attacker to bypass the Open File - Security Warning prompt.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-32049 представляет собой уязвимость обхода функций безопасности (Security Feature Bypass) в компоненте Windows Defender SmartScreen. Проблема заключается в некорректной обработке меток зоны (Mark of the Web, MotW) при открытии файлов, загруженных из интернета.

В нормальных условиях при попытке запуска скачанного файла система отображает предупреждение «Open File - Security Warning». Эксплуатация данной уязвимости позволяет злоумышленнику создать специально подготовленный файл, который при открытии пользователем подавляет это предупреждение. Это значительно повышает эффективность фишинговых атак, так как вредоносное ПО запускается без дополнительных подтверждений со стороны жертвы.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft, выпущенных в рамках «Patch Tuesday» за июль 2023 года.

  1. Для автоматического обновления: Перейдите в Параметры > Обновление и безопасность > Центр обновления Windows и нажмите «Проверить наличие обновлений».

  2. Для ручной установки (через Microsoft Update Catalog): Необходимо скачать и установить пакет обновления, соответствующий вашей версии ОС (например, KB5028185 для Windows 11 или KB5028166 для Windows 10).

  3. Проверка версии билда через PowerShell:

Get-ComputerInfo | select WindowsProductName, WindowsVersion, OsBuildNumber

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие защитные механизмы для снижения риска эксплуатации:

  1. Настройка блокировки файлов с меткой MotW из ненадежных источников через групповые политики (GPO): Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Проводник -> Настроить проверку SmartScreen для файлов (установить в значение «Включено» и выбрать «Требовать утверждения администратором»).

  2. Использование политик безопасности в Microsoft Office для блокировки макросов в файлах из интернета:

Set-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Office\16.0\Common\Security" -Name "BlockContentExecutionFromInternet" -Value 1

  1. Усиление контроля за загрузками в браузерах (например, Edge): Включите функцию «Microsoft Defender SmartScreen» и «Блокировка потенциально нежелательных приложений» в настройках безопасности браузера.

  2. Обучение пользователей: Проведите инструктаж персонала о недопустимости открытия вложений в электронных письмах от неизвестных отправителей, даже если система не выводит стандартное предупреждение безопасности.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей