CVE-2024-30051

Microsoft DWM Core Library

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-05-14

Официальное описание

Microsoft DWM Core Library contains a privilege escalation vulnerability that allows an attacker to gain SYSTEM privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-30051 представляет собой уязвимость типа Heap-based Buffer Overflow (переполнение кучи) в библиотеке Microsoft Desktop Window Manager (DWM) Core Library. Проблема возникает из-за некорректной обработки объектов в памяти при отрисовке графического интерфейса.

Злоумышленник, имеющий локальный доступ к системе с низкими привилегиями, может запустить специально подготовленное приложение. Это позволяет вызвать повреждение памяти и выполнить произвольный код в контексте безопасности учетной записи SYSTEM. Уязвимость активно эксплуатировалась в дикой природе (0-day) для установки вредоносного ПО и обхода механизмов защиты Windows.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft, выпущенных в рамках "Patch Tuesday" в мае 2024 года.

  1. Проверьте наличие обновлений через Центр обновления Windows:
Control update
  1. Для автоматизированной проверки наличия установленного исправления (KB) в зависимости от версии ОС, используйте PowerShell:
Get-HotFix -Id KB5037768, KB5037765, KB5037771, KB5037782
  1. Если вы используете Windows Server Update Services (WSUS) или Microsoft Endpoint Configuration Manager (MECM), одобрите и разверните накопительные пакеты обновления за май 2024 года (или более поздние) для следующих систем:
  2. Windows 10 (1809, 21H2, 22H2)
  3. Windows 11 (21H2, 22H2, 23H2)
  4. Windows Server (2016, 2019, 2022)

Временные меры

Поскольку уязвимость находится в критическом компоненте графической подсистемы (DWM), полноценных обходных путей (workarounds), не нарушающих работу интерфейса ОС, не существует. Рекомендуется сосредоточиться на следующих мерах компенсации:

  1. Ограничение прав пользователей: Соблюдайте принцип наименьших привилегий (PoLP), чтобы минимизировать возможность запуска недоверенного кода, который может инициировать эксплойт.

  2. Мониторинг подозрительной активности: Настройте аудит процессов для обнаружения аномального поведения dwm.exe. Используйте Sysmon для отслеживания создания дочерних процессов от имени SYSTEM, которые инициированы DWM.

Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-Sysmon/Operational'; ID=1} | Where-Object {$_.Message -like "*dwm.exe*"}
  1. Изоляция критических систем: Для серверов, где установка обновлений требует длительного тестирования, ограничьте возможность интерактивного входа и использования RDP, так как эксплойт требует локальной сессии.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей