CVE-2024-30088

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-10-15

Официальное описание

Microsoft Windows Kernel contains a time-of-check to time-of-use (TOCTOU) race condition vulnerability that could allow for privilege escalation.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-30088 представляет собой критическую уязвимость типа TOCTOU (Time-of-Check to Time-of-Use) в ядре Microsoft Windows. Это состояние гонки (race condition) возникает, когда система проверяет условие (например, права доступа к объекту), но перед тем, как использовать результат этой проверки, злоумышленник успевает изменить состояние объекта.

Эксплуатация данной уязвимости позволяет локальному пользователю с низкими привилегиями повысить свои права до уровня SYSTEM. Уязвимость затрагивает современные версии Windows 10, Windows 11 и Windows Server (включая 2022 и 23H2).

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft от июня 2024 года (Patch Tuesday).

  1. Проверьте текущую версию ОС и наличие установленных обновлений:
Get-HotFix | Where-Object {$_.HotFixID -match "KB5039212" -or $_.HotFixID -match "KB5039211" -or $_.HotFixID -match "KB5039227"}
  1. Запустите поиск и установку обновлений через Windows Update:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot
  1. Если автоматическое обновление недоступно, скачайте соответствующий пакет KB для вашей версии ОС из каталога Microsoft Update (например, KB5039212 для Windows 11 22H2/23H2 или KB5039211 для Windows 10 22H2) и установите его вручную:
wusa.exe C:\Path\To\Downloaded\Update.msu /quiet /norestart

Временные меры

Поскольку уязвимость находится на уровне ядра, полноценных обходных путей (workarounds) без изменения кода системы не существует. Однако для снижения риска эксплуатации рекомендуется выполнить следующие действия:

  1. Применяйте принцип наименьших привилегий (PoLP), ограничивая возможность запуска произвольного кода пользователями.

  2. Настройте аудит создания процессов, чтобы отслеживать подозрительную активность:

auditpol /set /subcategory:"Process Creation" /success:enable /failure:enable

  1. Используйте средства защиты конечных точек (EDR/AV) с актуальными сигнатурами и поведенческим анализом для обнаружения попыток эксплуатации race condition.

  2. Ограничьте физический и удаленный доступ (RDP) к критически важным серверам для непривилегированных пользователей.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей