CVE-2024-38014

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-09-10

Официальное описание

Microsoft Windows Installer contains an improper privilege management vulnerability that could allow an attacker to gain SYSTEM privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-38014 представляет собой уязвимость в компоненте Microsoft Windows Installer, связанную с некорректным управлением привилегиями (Improper Privilege Management). Проблема возникает из-за того, что процесс установки позволяет локальному пользователю с низким уровнем прав манипулировать файловыми операциями или путями во время выполнения инсталляционных скриптов с повышенными правами.

Эксплуатация данной уязвимости позволяет злоумышленнику выполнить произвольный код в контексте учетной записи NT AUTHORITY\SYSTEM, что ведет к полному захвату контроля над целевой системой.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft, выпущенных в рамках "Patch Tuesday" в сентябре 2024 года.

Для автоматического обновления: 1. Откройте «Параметры» (Settings). 2. Перейдите в раздел «Обновление и безопасность» (Update & Security) -> «Центр обновления Windows» (Windows Update). 3. Нажмите «Проверить наличие обновлений» (Check for updates).

Для ручной установки или проверки через PowerShell:

Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -KBArticleID KB5043064

(Примечание: Номер KB может варьироваться в зависимости от версии ОС. Например, для Windows 11 23H2 это KB5043076, для Windows 10 — KB5043064).

Для проверки того, что исправление применено:

get-hotfix | where-object {$_.HotFixID -match "KB5043064|KB5043076"}

Временные меры

Если немедленная установка патчей невозможна, рекомендуется принять следующие меры для снижения риска эксплуатации:

  1. Ограничение прав пользователей: Убедитесь, что обычные пользователи не имеют прав локального администратора и не могут запускать установку MSI-пакетов от имени системы без контроля.

  2. Настройка политик Windows Installer через реестр: Отключите возможность использования повышенных привилегий для всех инсталляций (AlwaysInstallElevated).

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer" /v "AlwaysInstallElevated" /t REG_DWORD /d 0 /f
reg add "HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Installer" /v "AlwaysInstallElevated" /t REG_DWORD /d 0 /f

  1. Мониторинг событий: Настройте аудит создания процессов и отслеживайте подозрительную активность процесса msiexec.exe, особенно если он порождает дочерние процессы командной оболочки (cmd.exe, powershell.exe) с правами SYSTEM.

  2. Использование AppLocker или Windows Defender Application Control (WDAC): Запретите запуск неавторизованных MSI-пакетов и скриптов, ограничив установку ПО только доверенными цифровыми подписями или путями.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей