CVE-2024-38107

Microsoft Windows

ВЕРОЯТНОСТЬ 3.4%
Дата обнаружения

2024-08-13

Официальное описание

Microsoft Windows Power Dependency Coordinator contains an unspecified vulnerability that allows for privilege escalation, enabling a local attacker to obtain SYSTEM privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-38107 представляет собой уязвимость типа Use-After-Free (использование памяти после освобождения) в компоненте Windows Power Dependency Coordinator. Данный компонент отвечает за управление зависимостями питания между различными подсистемами ОС.

Поскольку уязвимость связана с некорректной обработкой объектов в памяти ядра, локальный аутентифицированный злоумышленник может запустить специально подготовленное приложение для манипуляции структурами данных. Успешная эксплуатация позволяет повысить привилегии до уровня SYSTEM, что дает полный контроль над целевой хостовой системой. Уязвимость классифицируется как критическая, так как зафиксированы случаи её эксплуатации в реальных атаках (0-day).

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft от августа 2024 года (Patch Tuesday).

  1. Для автоматического обновления через Windows Update:
control /name Microsoft.WindowsUpdate
  1. Для проверки наличия установленного исправления (KB) в зависимости от версии ОС:
  2. Windows 10 22H2: KB5041580
  3. Windows 11 22H2/23H2: KB5041585
  4. Windows Server 2022: KB5041160

Команда для проверки через PowerShell:

get-hotfix | where-object {$_.HotFixID -match "KB5041580|KB5041585|KB5041160"}
  1. В корпоративных средах используйте WSUS или MECM для принудительного развертывания кумулятивных обновлений за август 2024 года или более поздних.

Временные меры

Специфических обходных путей (workarounds), таких как изменение ключей реестра или отключение служб, для данной уязвимости не существует, так как Power Dependency Coordinator является критическим компонентом ядра. Рекомендуются следующие общие меры по снижению рисков:

  1. Соблюдение принципа наименьших привилегий (LUA): Ограничьте использование учетных записей с правами администратора. Уязвимость требует локального запуска кода, поэтому ограничение прав пользователей снижает вектор атаки.

  2. Мониторинг подозрительной активности: Настройте аудит создания процессов (Event ID 4688) и отслеживайте запуск необычных дочерних процессов от имени системных служб.

  3. Использование средств защиты конечных точек (EDR): Настройте правила детектирования для выявления попыток эксплуатации уязвимостей ядра и аномального поведения системных вызовов.

  4. Изоляция критических систем: Ограничьте физический и удаленный доступ (RDP) к критически важным серверам до момента установки патчей.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей