CVE-2023-36584

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-11-16

Официальное описание

Microsoft Windows Mark of the Web (MOTW) contains a security feature bypass vulnerability resulting in a limited loss of integrity and availability of security features.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-36584 представляет собой уязвимость обхода функций безопасности в механизме Microsoft Windows Mark of the Web (MOTW). MOTW — это специальная метка (Alternate Data Stream, ADS), которая наносится на файлы, загруженные из интернета, чтобы инициировать защитные механизмы, такие как SmartScreen или «Защищенный просмотр» в Microsoft Office.

Уязвимость позволяет злоумышленнику создать специально подготовленный файл или архив, который при скачивании и распаковке не получает метку Zone.Identifier. В результате вредоносный код может быть запущен без предупреждения пользователя и без проверки фильтром SmartScreen, что приводит к частичной потере целостности и доступности функций безопасности системы.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft от октября 2023 года (Patch Tuesday).

  1. Откройте «Параметры» -> «Обновление и безопасность» -> «Центр обновления Windows».
  2. Нажмите «Проверить наличие обновлений».
  3. Установите все доступные накопительные обновления (Cumulative Updates).

Для автоматизации процесса на множестве хостов через PowerShell:

Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие защитные меры для снижения риска эксплуатации:

  1. Включите блокировку файлов, имеющих метку MOTW, внутри архивов и специфических форматов через групповые политики (GPO): Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Проводник -> Настроить проверку SmartScreen (Установить в значение «Включено»).

  2. Настройте Microsoft Defender для блокировки запуска неподписанных исполняемых файлов:

Set-MpPreference -EnableLowDiskSpaceChecks $true
Set-MpPreference -SubmitSamplesConsent 1
  1. Используйте правила Attack Surface Reduction (ASR) для блокировки запуска подозрительных файлов из почтовых вложений и архивов:
Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-539C-41FD-8020-DB748399612C -AttackSurfaceReductionRules_Actions Enabled
  1. Обучите пользователей проверять происхождение файлов и не открывать вложения от недоверенных отправителей, даже если система не выводит предупреждение безопасности.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей