CVE-2024-38080

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-07-09

Официальное описание

Microsoft Windows Hyper-V contains a privilege escalation vulnerability that allows a local attacker with user permissions to gain SYSTEM privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-38080 представляет собой критическую уязвимость типа Elevation of Privilege (EoP) в гипервизоре Microsoft Hyper-V. Проблема вызвана некорректной обработкой объектов в памяти или недостаточной проверкой прав доступа при выполнении определенных системных вызовов.

Локальный злоумышленник, обладающий правами обычного пользователя в гостевой или хостовой ОС, может эксплуатировать эту брешь для выполнения произвольного кода с максимальными привилегиями уровня SYSTEM. Уязвимость классифицируется как «Exploitation Detected» (зафиксированы случаи эксплуатации в живой среде), что делает её приоритетной для устранения.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft от июля 2024 года (Patch Tuesday).

  1. Проверьте версию ОС и наличие установленных обновлений.
  2. Установите кумулятивное обновление через Windows Update или Microsoft Update Catalog.

Для автоматической установки через PowerShell:

Install-Module PSWindowsUpdate
Get-WindowsUpdate -KBArticleID KB5040437 -Install -AcceptAll -AutoReboot

Примечание: Номер KB может варьироваться в зависимости от версии Windows (например, KB5040437 для Windows 11 22H2/23H2, KB5040442 для Windows 10).

Для проверки того, что исправление применено:

get-hotfix | where-object {$_.HotFixID -eq "KB5040437"}

Временные меры

Если немедленная установка патчей невозможна, рекомендуется минимизировать поверхность атаки следующими методами:

  1. Отключение роли Hyper-V на хостах, где она не является критически необходимой:
Disable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-All
  1. Ограничение прав локальных пользователей: Убедитесь, что обычные пользователи не имеют прав на создание или управление виртуальными машинами. Проверьте членство в группе «Hyper-V Administrators».
Get-LocalGroupMember -Group "Hyper-V Administrators"

  1. Изоляция критических узлов: На серверах с активной ролью Hyper-V следует исключить запуск недоверенного кода и ограничить доступ по протоколу RDP только для администраторов.

  2. Мониторинг событий: Настройте аудит создания процессов и отслеживайте подозрительную активность от имени учетной записи SYSTEM, инициированную процессами, связанными с виртуализацией (например, vmms.exe, vmwp.exe).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей