CVE-2024-21338

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-03-04

Официальное описание

Microsoft Windows Kernel contains an exposed IOCTL with insufficient access control vulnerability within the IOCTL (input and output control) dispatcher in appid.sys that allows a local attacker to achieve privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-21338 представляет собой уязвимость типа Elevation of Privilege (EoP) в драйвере appid.sys (AppLocker). Проблема заключается в некорректной проверке прав доступа при обработке определенных IOCTL-запросов (Input/Output Control). Локальный злоумышленник с низким уровнем привилегий может отправить специально сформированный запрос к диспетчеру IOCTL, что позволяет выполнить произвольный код в контексте ядра (Kernel mode). Это ведет к полному захвату системы, обходу механизмов защиты (EDR/AV) и получению прав уровня SYSTEM. Уязвимость активно эксплуатировалась группировкой Lazarus в качестве 0-day.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft от февраля 2024 года или более поздних.

  1. Проверьте текущую версию ОС и наличие установленных обновлений:
Get-HotFix | Where-Object {$_.HotFixID -eq "KB5034765" -or $_.HotFixID -eq "KB5034763"}
  1. Запустите поиск и установку обновлений через Windows Update:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot
  1. Для серверных сред (Windows Server 2019/2022) убедитесь, что установлены накопительные пакеты обновления (Cumulative Updates) версии не ниже 10.2024.

Временные меры

Если немедленная установка патчей невозможна, необходимо минимизировать риски с помощью следующих шагов:

  1. Ограничение использования AppLocker: Если функционал AppLocker не используется в вашей инфраструктуре, убедитесь, что служба идентификации приложения (Application Identity) остановлена и отключена, так как именно она взаимодействует с appid.sys.
Stop-Service -Name AppIDSvc
Set-Service -Name AppIDSvc -StartupType Disabled

  1. Мониторинг подозрительной активности: Настройте аудит создания процессов и отслеживайте попытки взаимодействия с драйвером appid.sys со стороны недоверенных процессов. Используйте Sysmon для поиска аномальных вызовов DeviceIoControl.

  2. Принцип минимальных привилегий: Поскольку уязвимость требует локального доступа, ограничьте возможность интерактивного входа для непривилегированных пользователей на критически важных серверах.

  3. Использование EDR в режиме блокировки: Настройте правила поведенческого анализа для обнаружения попыток эксплуатации уязвимостей ядра (Kernel Exploitation), что может помочь заблокировать эксплойт на этапе выполнения.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей