CVE-2024-38193

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-08-13

Официальное описание

Microsoft Windows Ancillary Function Driver for WinSock contains an unspecified vulnerability that allows for privilege escalation, enabling a local attacker to gain SYSTEM privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-38193 представляет собой уязвимость типа Use-After-Free (использование памяти после освобождения) в драйвере вспомогательных функций Windows для WinSock (afd.sys). Драйвер afd.sys является ключевым компонентом, отвечающим за сетевые операции и интерфейс Windows Sockets.

Поскольку уязвимость находится на уровне ядра (Kernel Mode), локальный аутентифицированный злоумышленник с низким уровнем привилегий может выполнить специально подготовленный код для манипуляции объектами в памяти ядра. Это позволяет обойти границы безопасности и повысить привилегии до уровня SYSTEM, что дает полный контроль над скомпрометированной хостовой системой. Уязвимость активно эксплуатировалась в целевых атаках (0-day) до выхода официального патча.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft, выпущенных в рамках "Patch Tuesday" в августе 2024 года.

  1. Для автоматического обновления через Windows Update:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -KBArticleID KB5041571

(Примечание: Номер KB может варьироваться в зависимости от версии ОС, например, KB5041585 для Windows 11 23H2).

  1. Для проверки текущей версии драйвера afd.sys и подтверждения установки патча:
Get-Item C:\Windows\System32\drivers\afd.sys | Select-Object VersionInfo
  1. Для принудительного поиска обновлений через графический интерфейс:
  2. Откройте «Параметры» > «Обновление и безопасность» > «Центр обновления Windows».
  3. Нажмите «Проверить наличие обновлений».
  4. Установите все накопительные пакеты обновления (Cumulative Updates).

Временные меры

Поскольку уязвимость находится в критическом драйвере ядра, полноценных обходных путей (workarounds) без нарушения работы сетевых функций системы не существует. Однако для снижения рисков в изолированных средах рекомендуется:

  1. Применение принципа минимальных привилегий (PoLP): Уязвимость требует локального доступа и возможности запуска кода. Ограничение прав пользователей на запуск недоверенных исполняемых файлов снижает вероятность эксплуатации.

  2. Мониторинг системных вызовов: Настройка правил EDR/SIEM для обнаружения аномальной активности, связанной с процессом afd.sys и попытками манипуляции памятью ядра.

  3. Изоляция критических систем: Если патч не может быть установлен немедленно, необходимо ограничить доступ к системе по протоколу RDP и другим векторам, позволяющим получить интерактивный доступ к сессии.

  4. Проверка целостности системы:

sfc /scannow
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей