CVE-2024-21351

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-02-13

Официальное описание

Microsoft Windows SmartScreen contains a security feature bypass vulnerability that allows an attacker to bypass the SmartScreen user experience and inject code to potentially gain code execution, which could lead to some data exposure, lack of system availability, or both.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-21351 представляет собой уязвимость обхода функций безопасности (Security Feature Bypass) в компоненте Windows SmartScreen. Проблема заключается в некорректной обработке определенных типов файлов или путей, что позволяет злоумышленнику обойти предупреждающие диалоговые окна SmartScreen.

При успешной эксплуатации атакующий может внедрить вредоносный код и добиться его выполнения в контексте текущего пользователя. Это приводит к потере целостности системы, несанкционированному доступу к данным и потенциальной потере доступности ОС. Основной вектор атаки обычно включает в себя доставку специально подготовленного файла через фишинг или вредоносные веб-ресурсы.

Как исправить

Основным и единственным надежным способом устранения данной уязвимости является установка официальных обновлений безопасности Microsoft, выпущенных в рамках "Patch Tuesday" за февраль 2024 года.

  1. Проверьте наличие обновлений через Центр обновления Windows:
UsoClient StartScan
  1. Для автоматизированной установки обновлений через PowerShell (требуется модуль PSWindowsUpdate):
Install-WindowsUpdate -MicrosoftUpdate -Category "Security Updates" -AcceptAll -AutoReboot
  1. Если требуется ручная установка, скачайте соответствующий пакет KB для вашей версии ОС (например, Windows 10, 11 или Windows Server) из Каталога Центра обновления Майкрософт.

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие компенсационные меры для снижения риска эксплуатации:

  1. Настройка блокировки файлов, скачанных из интернета, через групповые политики (GPO): Включите политику "Configure Windows Defender SmartScreen" и установите режим "Block" для предотвращения запуска неопознанных программ.

  2. Использование политик AppLocker или Windows Defender Application Control (WDAC) для разрешения запуска только доверенных и подписанных приложений:

Set-ExecutionPolicy SigFree

  1. Усиление контроля за атрибутом "Mark of the Web" (MotW). Обучите пользователей не открывать подозрительные файлы, даже если система не выдает стандартное предупреждение SmartScreen.

  2. Мониторинг создания подозрительных процессов через SIEM/EDR, особенно тех, которые порождаются браузерами или почтовыми клиентами и пытаются обойти стандартные проверки безопасности.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей