CVE-2024-38178

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-08-13

Официальное описание

Microsoft Windows Scripting Engine contains a memory corruption vulnerability that allows unauthenticated attacker to initiate remote code execution via a specially crafted URL.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-38178 — это критическая уязвимость типа Memory Corruption (повреждение памяти) в движке сценариев Microsoft Windows (Scripting Engine). Проблема возникает из-за некорректной обработки объектов в памяти при использовании JIT-компиляции в Edge в режиме ретро-совместимости (Internet Explorer Mode).

Неаутентифицированный злоумышленник может эксплуатировать эту брешь, отправив жертве специально сформированную ссылку (URL). При переходе по ссылке через уязвимый компонент происходит удаленное выполнение произвольного кода (RCE) в контексте текущего пользователя. Уязвимость имеет высокую степень опасности, так как позволяет захватить контроль над системой без прямого взаимодействия с файловой системой, используя только веб-браузер или приложения, использующие движок рендеринга MSHTML.

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft, выпущенных в рамках "Patch Tuesday" за август 2024 года.

  1. Откройте «Параметры» -> «Обновление и безопасность» -> «Центр обновления Windows».
  2. Нажмите «Проверить наличие обновлений».
  3. Установите накопительный пакет обновления (Cumulative Update), соответствующий вашей версии ОС (например, KB5041585 для Windows 11 или KB5041580 для Windows 10).
  4. Перезагрузите систему для завершения установки.

Для принудительного запуска поиска обновлений через терминал используйте:

Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временные меры

Если немедленная установка патчей невозможна, необходимо минимизировать поверхность атаки путем ограничения использования устаревших компонентов Scripting Engine.

  1. Отключение JIT-компиляции в Microsoft Edge (Enhanced Security Mode): Включите режим «Strict» в настройках безопасности Edge, чтобы ограничить возможности JIT, через которые происходит эксплуатация.

  2. Ограничение доступа к библиотеке jscript9.dll через реестр (для предотвращения использования движка сторонними приложениями):

reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BLOCK_JSCRIPT_EXECUTION" /v "iexplore.exe" /t REG_DWORD /d 1 /f

  1. Использование политик AppLocker или Windows Defender Application Control (WDAC) для блокировки запуска подозрительных процессов из контекста браузера.

  2. Настройка параметров безопасности зон интернета в свойствах браузера (Internet Options) для отключения активных сценариев (Active Scripting) для зон «Интернет» и «Надежные сайты».

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей