CVE-2024-35250

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-12-16

Официальное описание

Microsoft Windows Kernel-Mode Driver contains an untrusted pointer dereference vulnerability that allows a local attacker to escalate privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-35250 представляет собой критическую уязвимость в драйвере режима ядра Windows (ks.sys), связанную с разыменованием доверенного указателя (Untrusted Pointer Dereference). Проблема возникает из-за некорректной валидации входных данных, передаваемых из пользовательского режима в драйвер потоковой передачи ядра (Kernel Streaming).

Локальный злоумышленник с низкими привилегиями может создать специально сформированный запрос к драйверу, что приведет к записи данных в произвольную область памяти ядра. Успешная эксплуатация позволяет полностью скомпрометировать систему, выполнив код с правами SYSTEM.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft, выпущенных в рамках "Patch Tuesday" в июне 2024 года.

  1. Откройте «Параметры» (Settings) -> «Центр обновления Windows» (Windows Update).
  2. Нажмите «Проверить наличие обновлений» (Check for updates).
  3. Установите накопительный пакет обновления (Cumulative Update), соответствующий вашей версии ОС (например, KB5039211 для Windows 11 22H2/23H2 или KB5039212 для Windows 10).
  4. Перезагрузите систему для применения изменений в ядре.

Для проверки версии установленного обновления через терминал используйте команду:

get-hotfix | findstr "KB5039211 KB5039212 KB5039217"

Временные меры

Если немедленная установка патчей невозможна, рекомендуется принять следующие меры для снижения поверхности атаки:

  1. Ограничение физического и локального доступа: Поскольку уязвимость требует локального запуска кода, ограничьте доступ к критическим узлам и используйте принцип наименьших привилегий (LUA).

  2. Мониторинг системных вызовов: Настройте аудит создания процессов и мониторинг подозрительной активности, связанной с загрузкой драйверов или необычными запросами к ks.sys.

  3. Использование EDR/AV: Убедитесь, что ваши средства защиты используют актуальные сигнатуры и поведенческий анализ для обнаружения эксплойтов, нацеленных на повышение привилегий (LPE).

  4. Проверка целостности системы: Используйте встроенные средства для проверки отсутствия модификаций системных драйверов.

sfc /scannow
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей