CVE-2023-36802

Суть уязвимости

CVE-2023-36802 — это уязвимость типа Local Privilege Escalation (LPE) в драйвере прокси-службы потоковой передачи Microsoft (mskssrv.sys). Проблема связана с некорректной обработкой объектов в памяти (IOCTL запросов), что позволяет локальному злоумышленнику с низкими привилегиями выполнить произвольный код с правами SYSTEM. Данная уязвимость классифицируется как "Zero-day", так как она активно эксплуатировалась в реальных атаках до выпуска официального патча.

Как исправить

Основным и рекомендуемым способом устранения уязвимости является установка официальных обновлений безопасности Microsoft от сентября 2023 года (или более поздних кумулятивных обновлений).

1. Для автоматического обновления через Windows Update:

Install-WindowsUpdate -AcceptAll -AutoReboot

1. Для проверки версии установленного драйвера mskssrv.sys (версия должна быть не ниже 10.0.19041.3448 для Windows 10 20H2/21H2/22H2):

(Get-Item C:\Windows\System32\drivers\mskssrv.sys).VersionInfo.FileVersion

1. Для принудительного поиска обновлений через консоль:

UsoClient StartScan

Временные меры

Если немедленная установка патчей невозможна, необходимо ограничить поверхность атаки. Поскольку уязвимость эксплуатируется локально, основное внимание следует уделить мониторингу и ограничению доступа.

1. Мониторинг подозрительной активности процессов, запускаемых от имени SYSTEM, которые взаимодействуют с драйвером mskssrv.sys (через Sysmon или EDR):

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Sysmon/Operational'; ID=1} | Where-Object {$_.Message -like "*mskssrv.sys*"}

1. Изоляция критических узлов и ограничение прав пользователей, чтобы минимизировать риск запуска вредоносного кода, использующего данный вектор:

Set-Option -Name "RestrictPrivilegeEscalation" -Value $true

1. Проверка системы на наличие известных индикаторов компрометации (IoC), связанных с эксплуатацией этой уязвимости, с помощью Microsoft Defender:

Start-MpScan -ScanType FullScan