CVE-2024-38106

Microsoft Windows

ВЕРОЯТНОСТЬ 0.8%
Дата обнаружения

2024-08-13

Официальное описание

Microsoft Windows Kernel contains an unspecified vulnerability that allows for privilege escalation, enabling a local attacker to gain SYSTEM privileges. Successful exploitation of this vulnerability requires an attacker to win a race condition.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-38106 представляет собой критическую уязвимость в ядре Microsoft Windows (Windows Kernel), связанную с состоянием гонки (Race Condition). Уязвимость позволяет локальному пользователю с низкими привилегиями выполнить произвольный код с правами уровня SYSTEM.

Основная проблема заключается в некорректной обработке объектов в памяти ядра при одновременном доступе из нескольких потоков. Злоумышленник, успешно «выигравший» состояние гонки, может манипулировать структурами данных ядра, что ведет к эскалации привилегий (LPE). Данная уязвимость классифицируется как эксплуатируемая в «дикой природе» (Zero-day), что требует незамедлительного реагирования.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft, выпущенных в рамках «Вторника обновлений» (Patch Tuesday) за август 2024 года.

Для автоматического обновления: 1. Откройте «Параметры» -> «Обновление и безопасность» -> «Центр обновления Windows». 2. Нажмите «Проверить наличие обновлений». 3. Установите все доступные накопительные пакеты (Cumulative Updates).

Для ручной установки через PowerShell (модуль PSWindowsUpdate):

Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Для проверки версии установленного билда ОС (убедитесь, что версия соответствует исправленной для вашей редакции Windows):

Get-ComputerInfo | select WindowsProductName, WindowsVersion, OsBuildNumber

Временные меры

Поскольку уязвимость находится на уровне ядра, полноценных программных способов (workarounds) без установки патча не существует. Однако для снижения риска эксплуатации в корпоративной среде рекомендуется принять следующие меры:

  1. Ограничение локального доступа: Поскольку для эксплуатации требуется локальный запуск кода, необходимо строго соблюдать принцип наименьших привилегий (PoLP) и ограничить возможность интерактивного входа для непривилегированных пользователей на критически важные серверы.

  2. Мониторинг подозрительной активности: Настройте аудит создания процессов и отслеживайте аномальное поведение системных процессов (например, spoolsv.exe, lsass.exe), запускающих дочерние процессы с правами SYSTEM от имени обычного пользователя.

  3. Использование средств защиты конечных точек (EDR): Убедитесь, что ваши системы защиты настроены на обнаружение техник эксплуатации памяти и попыток эскалации привилегий.

  4. Изоляция критических систем: Временно изолируйте системы, которые не могут быть обновлены немедленно, от прямого доступа пользователей, имеющих возможность запускать произвольные скрипты или исполняемые файлы.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей