CVE-2023-36874

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-07-11

Официальное описание

Microsoft Windows Error Reporting Service contains an unspecified vulnerability that allows for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-36874 — это уязвимость типа Privilege Escalation (повышение привилегий) в службе регистрации ошибок Windows (Windows Error Reporting Service, WER). Проблема заключается в некорректной обработке прав доступа при создании отчетов об ошибках.

Злоумышленник, имеющий доступ к системе с правами обычного пользователя, может использовать специально созданные символьные ссылки или манипулировать параметрами службы WER, чтобы заставить систему выполнить действия с правами SYSTEM. Это позволяет полностью скомпрометировать локальную машину, установить вредоносное ПО или изменить критические настройки ОС.

Как исправить

Основным и единственным надежным способом устранения данной уязвимости является установка официальных обновлений безопасности от Microsoft, выпущенных в рамках "Patch Tuesday" в июле 2023 года.

  1. Откройте «Параметры» -> «Обновление и безопасность» -> «Центр обновления Windows».
  2. Нажмите «Проверить наличие обновлений».
  3. Установите накопительный пакет обновления (Cumulative Update), соответствующий вашей версии ОС.

Для принудительного запуска поиска обновлений через терминал используйте следующие команды:

Install-Module PSWindowsUpdate


Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Если требуется ручная установка, скачайте патч из Microsoft Update Catalog, ориентируясь на номер статьи базы знаний (KB) для вашей версии Windows (например, KB5028166 для Windows 10 22H2 или KB5028185 для Windows 11 22H2).

Временные меры

Если немедленная установка патчей невозможна, рекомендуется принять следующие меры для снижения риска эксплуатации:

  1. Ограничьте права локальных пользователей, следуя принципу наименьших привилегий (PoLP). Убедитесь, что обычные пользователи не входят в группы локальных администраторов.

  2. Отключите службу Windows Error Reporting (не рекомендуется на длительный срок, так как это затруднит диагностику системы):

Stop-Service -Name "WerSvc"


Set-Service -Name "WerSvc" -StartupType Disabled

  1. Настройте аудит создания процессов и мониторинг событий в журнале Windows (Event Viewer), чтобы отслеживать подозрительную активность, связанную с процессом WerFault.exe.

  2. Используйте средства защиты конечных точек (EDR/AV) с актуальными сигнатурами, которые способны детектировать аномальное поведение службы регистрации ошибок.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей