CVE-2024-26169

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-06-13

Официальное описание

Microsoft Windows Error Reporting Service contains an improper privilege management vulnerability that allows a local attacker with user permissions to gain SYSTEM privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-26169 — это уязвимость типа Elevation of Privilege (EoP) в службе отчетов об ошибках Windows (Windows Error Reporting Service, WER). Проблема заключается в ненадлежащем управлении привилегиями при обработке определенных файлов.

Локальный злоумышленник с низким уровнем прав может создать специально подготовленный файл (например, через манипуляцию с реестром или символьными ссылками), который заставит службу WER выполнить действия от имени учетной записи SYSTEM. Это позволяет атакующему полностью скомпрометировать систему, устанавливать программы, изменять данные или создавать новые учетные записи с правами администратора. По данным Threat Intelligence, данная уязвимость активно эксплуатировалась группировками вымогателей (Ransomware) еще до официального выпуска патча.

Как исправить

Основным и наиболее надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft, выпущенных в марте 2024 года или позже.

  1. Для автоматического обновления: Перейдите в Параметры > Обновление и безопасность > Центр обновления Windows и нажмите Проверить наличие обновлений.

  2. Для ручной установки (через Microsoft Update Catalog): Необходимо скачать и установить кумулятивное обновление, соответствующее вашей версии ОС (например, KB5035853 для Windows 11 или KB5035845 для Windows 10).

  3. Проверка версии файла через PowerShell: Убедитесь, что версия библиотеки wer.dll или werkernel.sys соответствует исправленной версии (зависит от билда ОС).

get-item C:\Windows\System32\wer.dll | select-object VersionInfo

Временные меры

Если немедленная установка патчей невозможна, рекомендуется принять следующие меры для снижения риска эксплуатации:

  1. Ограничение прав локальных пользователей: Убедитесь, что обычные пользователи не имеют прав локального администратора, чтобы минимизировать поверхность атаки.

  2. Мониторинг подозрительных процессов: Настройте аудит создания процессов (Event ID 4688) и отслеживайте запуск подозрительных дочерних процессов от имени WerFault.exe или WerMgr.exe.

  3. Использование EDR/AV решений: Обновите сигнатуры антивирусного ПО и правила EDR. Большинство современных систем защиты уже умеют детектировать специфические паттерны эксплуатации этой уязвимости (например, попытки записи в защищенные ветки реестра через WER).

  4. Проверка индикаторов компрометации (IoC): Проверьте наличие созданных ключей реестра, которые могут указывать на попытку эксплуатации:

Get-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\Windows Error Reporting\Hangs"
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей