CVE-2023-36025

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-11-14

Официальное описание

Microsoft Windows SmartScreen contains a security feature bypass vulnerability that could allow an attacker to bypass Windows Defender SmartScreen checks and their associated prompts.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-36025 — это критическая уязвимость обхода функций безопасности (Security Feature Bypass) в компоненте Windows SmartScreen. Проблема заключается в недостаточной проверке специально сформированных интернет-ярлыков (файлов с расширением .url) или ссылок, указывающих на файлы в сетевых папках.

При эксплуатации злоумышленник создает вредоносный .url файл, который при открытии пользователем не вызывает стандартное предупреждение SmartScreen. Это позволяет автоматически запускать произвольный код или загружать вредоносное ПО, минуя механизмы защиты, предназначенные для проверки репутации файлов и предупреждения пользователя о потенциальной опасности.

Как исправить

Основным и наиболее эффективным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft от ноября 2023 года (Patch Tuesday).

  1. Для автоматического обновления через графический интерфейс: Перейдите в Параметры > Обновление и безопасность > Центр обновления Windows и нажмите Проверить наличие обновлений.

  2. Для принудительного поиска и установки обновлений через PowerShell:

Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot
  1. Для проверки версии ОС и установленных исправлений (KB):
get-hotfix | findstr "KB5032189 KB5032190 KB5032196"

(Примечание: Номер KB зависит от версии вашей ОС. Например, для Windows 11 22H2 это KB5032190, для Windows 10 — KB5032189).

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие защитные меры для снижения риска эксплуатации:

  1. Блокировка загрузки и открытия подозрительных .url файлов из внешних источников (электронная почта, мессенджеры).

  2. Настройка ассоциаций файлов для предотвращения автоматического запуска ярлыков:

Set-ItemProperty -Path "HKLM:\SOFTWARE\Classes\InternetShortcut\shell\Open\Command" -Name "(Default)" -Value "C:\Windows\System32\notepad.exe %1"

  1. Использование политик ограничения программного обеспечения (AppLocker или Windows Defender Application Control) для запрета запуска файлов из временных папок браузеров и почтовых клиентов.

  2. Повышение осведомленности пользователей: запрет на переход по ссылкам и открытие файлов ярлыков, полученных от недоверенных отправителей, даже если они не вызывают предупреждений системы безопасности.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей