CVE-2024-38213

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-08-13

Официальное описание

Microsoft Windows SmartScreen contains a security feature bypass vulnerability that allows an attacker to bypass the SmartScreen user experience via a malicious file.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-38213 — это уязвимость обхода функций безопасности (Security Feature Bypass) в компоненте Microsoft Windows SmartScreen. Проблема связана с некорректной обработкой меток веб-содержимого (Mark of the Web, MotW).

Злоумышленник может создать специальный файл, который при загрузке из интернета не получает корректную метку MotW или игнорирует её при запуске. В результате защитный механизм SmartScreen не срабатывает, и пользователь не видит стандартного предупреждения о запуске потенциально опасного файла из ненадежного источника. Это значительно упрощает проведение атак методом социальной инженерии и доставку вредоносного ПО.

Как исправить

Основным и наиболее эффективным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft от сентября 2024 года.

  1. Откройте «Параметры» (Settings) -> «Центр обновления Windows» (Windows Update).
  2. Нажмите «Проверить наличие обновлений» (Check for updates).
  3. Установите накопительный пакет обновления (Cumulative Update), соответствующий вашей версии ОС (например, KB5043076 для Windows 11 или KB5043064 для Windows 10).
  4. Перезагрузите систему для завершения процесса установки.

Для принудительного запуска поиска обновлений через PowerShell от имени администратора:

Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие меры для снижения риска:

  1. Включите блокировку файлов с меткой MotW из ненадежных источников через групповые политики (GPO): Конфигурация компьютера -> Административные шаблоны -> Компоненты Windows -> Проводник -> «Настроить проверку SmartScreen для Windows» (установить в значение «Включено» и выбрать «Требовать утверждения администратором»).

  2. Настройте Microsoft Defender SmartScreen для проверки приложений и файлов через реестр:

Set-ItemProperty -Path "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer" -Name "SmartScreenEnabled" -Value "RequireAdmin"
  1. Используйте политики сокращения направлений атак (ASR) в Microsoft Defender для блокировки запуска исполняемых файлов, которые не соответствуют критериям доверия:
Add-MpPreference -AttackSurfaceReductionRules_Ids 56a863a9-875e-4685-b73d-05e5a2320380 -AttackSurfaceReductionRules_Actions Enabled
  1. Обучите пользователей проверять свойства скачанных файлов вручную. Если в свойствах файла отсутствует опция «Разблокировать» (Unblock) для файлов из интернета, это может быть признаком манипуляции с меткой MotW.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей