CVE-2023-36033

Microsoft Windows

ВЕРОЯТНОСТЬ 0.9%
Дата обнаружения

2023-11-14

Официальное описание

Microsoft Windows Desktop Window Manager (DWM) Core Library contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-36033 представляет собой критическую уязвимость типа Elevation of Privilege (EoP) в библиотеке ядра Microsoft Windows Desktop Window Manager (DWM). Проблема вызвана некорректной обработкой объектов в памяти, что приводит к состоянию целочисленного переполнения или путанице типов.

Злоумышленник, имеющий локальный доступ к системе с низкими привилегиями, может запустить специально подготовленное приложение для эксплуатации этой бреши. Успешная атака позволяет полностью скомпрометировать систему, получив максимальные права уровня SYSTEM. Данная уязвимость классифицируется как "0-day", так как на момент обнаружения она уже использовалась в реальных атаках.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft (Patch Tuesday, ноябрь 2023 г. или более поздние).

  1. Проверьте наличие обновлений через Центр обновления Windows или используйте PowerShell для поиска недостающих патчей:
Get-HotFix -Id KB5032189, KB5032190, KB5032196

(Примечание: номер KB зависит от версии и редакции вашей ОС Windows).

  1. Если обновления не установлены, инициируйте процесс загрузки и установки:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot
  1. Для ручной загрузки патчей посетите Microsoft Update Catalog и выберите пакет, соответствующий вашей версии ОС.

Временные меры

Поскольку уязвимость находится в критическом компоненте графической подсистемы (DWM), полноценных обходных путей (workarounds), не нарушающих работу интерфейса Windows, не существует. Однако для снижения рисков рекомендуется выполнить следующие действия:

  1. Ограничьте возможность запуска недоверенного исполняемого кода на критических узлах с помощью политик AppLocker или Windows Defender Application Control (WDAC).

  2. Настройте аудит создания процессов, чтобы отслеживать подозрительную активность от имени обычных пользователей:

auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable

  1. Используйте средства EDR (Endpoint Detection and Response) для мониторинга аномального поведения процесса dwm.exe и попыток инъекции кода.

  2. Изолируйте критически важные системы от прямого доступа пользователей, не имеющих административной необходимости в локальном входе.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей