CVE-2023-36036

Microsoft Windows

ВЕРОЯТНОСТЬ 1.4%
Дата обнаружения

2023-11-14

Официальное описание

Microsoft Windows Cloud Files Mini Filter Driver contains a privilege escalation vulnerability that could allow an attacker to gain SYSTEM privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-36036 представляет собой уязвимость типа Elevation of Privilege (EoP) в драйвере минифильтра облачных файлов Windows (cldflt.sys). Проблема связана с некорректной обработкой объектов в памяти, что позволяет локальному злоумышленнику с низким уровнем привилегий выполнить произвольный код с правами SYSTEM.

Данная уязвимость классифицируется как 0-day, так как на момент обнаружения она уже эксплуатировалась злоумышленниками в реальных атаках. Основной вектор атаки — локальный запуск специально подготовленного приложения для манипуляции вызовами драйвера.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft (Patch Tuesday от ноября 2023 года или более поздних).

  1. Для автоматического обновления через Windows Update: Перейдите в Параметры > Обновление и безопасность > Центр обновления Windows и нажмите «Проверить наличие обновлений».

  2. Для ручной установки через Microsoft Update Catalog: Необходимо скачать пакет обновления, соответствующий вашей версии ОС (KB5032189 для Windows 10 22H2, KB5032190 для Windows 11 22H2 и т.д.).

  3. Проверка версии установленного драйвера через PowerShell:

get-item C:\Windows\System32\drivers\cldflt.sys | select VersionInfo
  1. Принудительный поиск обновлений через командную строку (требуется модуль PSWindowsUpdate):
Install-WindowsUpdate -KBArticleID KB5032189 -AcceptAll -AutoReboot

Временные меры

Если немедленная установка патчей невозможна, рекомендуется принять следующие меры для снижения рисков:

  1. Ограничение прав пользователей: Убедитесь, что конечные пользователи работают под учетными записями с ограниченными правами (Standard User), чтобы минимизировать возможности локального запуска вредоносного кода.

  2. Мониторинг системных журналов: Настройте аудит создания процессов и отслеживайте подозрительную активность, связанную с системными вызовами к драйверу облачных файлов.

  3. Использование средств защиты конечных точек (EDR): Настройте правила обнаружения для выявления аномального поведения процессов, пытающихся получить системные привилегии через эксплуатацию драйверов.

  4. Проверка целостности системных файлов:

sfc /scannow
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей