CVE-2024-21412

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-02-13

Официальное описание

Microsoft Windows Internet Shortcut Files contains an unspecified vulnerability that allows for a security feature bypass.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-21412 — это критическая уязвимость обхода функций безопасности (Security Feature Bypass) в файлах интернет-ярлыков (.url) Microsoft Windows. Проблема заключается в том, что злоумышленник может создать специально сформированный файл ярлыка, который при открытии обходит механизм Mark of the Web (MotW).

В нормальных условиях MotW предупреждает пользователя о запуске файлов, загруженных из интернета (SmartScreen). Данная уязвимость позволяет вредоносному файлу запускаться без отображения предупреждений безопасности, что активно используется APT-группировками (например, Water Hydra) для доставки целевого ПО, такого как DarkMe. Уязвимость часто эксплуатируется через цепочку вложенных ярлыков, указывающих на другие ярлыки на внешних ресурсах (WebDAV/SMB).

Как исправить

Основным и наиболее надежным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft, выпущенных в рамках "Patch Tuesday" за февраль 2024 года.

  1. Откройте «Параметры» (Settings) -> «Обновление и безопасность» (Update & Security) -> «Центр обновления Windows» (Windows Update).
  2. Нажмите «Проверить наличие обновлений» (Check for updates).
  3. Установите накопительный пакет обновления, соответствующий вашей версии ОС (например, KB5034765 для Windows 11 или KB5034763 для Windows 10).

Для принудительной проверки обновлений через терминал выполните:

Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие компенсирующие меры для снижения риска эксплуатации:

  1. Блокировка исходящего трафика по протоколам SMB (порт 445) и WebDAV (порты 80/443 для нетипичных хостов) на границе сети, чтобы предотвратить подключение к удаленным вредоносным серверам.

  2. Настройка ассоциаций файлов для запрета автоматического открытия .url файлов через потенциально опасные приложения.

  3. Использование политик ограниченного использования программ (AppLocker) или Windows Defender Application Control (WDAC) для запрета запуска подозрительных файлов из папок загрузок и временных директорий.

  4. Включение функции «Блокировка создания дочерних процессов» в Windows Defender Exploit Protection:

Set-ProcessMitigation -Name Explorer.exe -Enable ChildProcess
  1. Настройка фильтрации на уровне почтового шлюза для блокировки или карантина входящих писем, содержащих файлы .url вложениями или внутри архивов.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей