CVE-2024-38217

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-09-10

Официальное описание

Microsoft Windows Mark of the Web (MOTW) contains a protection mechanism failure vulnerability that allows an attacker to bypass MOTW-based defenses. This can result in a limited loss of integrity and availability of security features such as Protected View in Microsoft Office, which rely on MOTW tagging.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-38217 — это уязвимость обхода функций безопасности (Security Feature Bypass) в механизме Microsoft Windows Mark of the Web (MOTW). Проблема заключается в некорректной обработке специально сформированных файлов, что позволяет злоумышленнику манипулировать атрибутами файла таким образом, чтобы система не проставляла метку MOTW (Zone.Identifier).

В результате файлы, загруженные из интернета, не помечаются как потенциально опасные. Это приводит к автоматическому обходу защитных механизмов, таких как: - SmartScreen (фильтр репутации). - Protected View (защищенный просмотр) в приложениях Microsoft Office. - Предупреждения системы безопасности при запуске исполняемых файлов.

Как исправить

Основным и наиболее эффективным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft, выпущенных в рамках "Patch Tuesday" в сентябре 2024 года.

  1. Откройте «Параметры» (Settings) -> «Центр обновления Windows» (Windows Update).
  2. Нажмите «Проверить наличие обновлений» (Check for updates).
  3. Установите все доступные накопительные обновления (Cumulative Updates).

Для проверки версии ОС и установленных патчей через терминал:

Get-HotFix | Where-Object {$_.HotFixID -match "KB5043064" -or $_.HotFixID -match "KB5043076"}

(Примечание: Номер KB зависит от версии вашей ОС — Windows 10, 11 или Server).

Временные меры

Если немедленная установка патчей невозможна, рекомендуется применить следующие меры для снижения риска эксплуатации:

  1. Настройка блокировки файлов с меткой MOTW через групповые политики (GPO) для офисных приложений: Включите политику «Блокировать запуск макросов в файлах Office из Интернета» (Block macros from running in Office files from the Internet).

  2. Использование Windows Defender Application Control (WDAC) или AppLocker: Настройте правила принудительного контроля запуска приложений, чтобы разрешить выполнение только доверенных и подписанных исполняемых файлов, независимо от наличия метки MOTW.

  3. Усиление защиты в Microsoft Defender для конечных точек (Attack Surface Reduction - ASR): Включите правило для блокировки запуска исполняемого контента из электронных писем.

Add-MpPreference -AttackSurfaceReductionRules_Ids BE9BA2D9-539C-41FD-8020-DB7483E4004C -AttackSurfaceReductionRules_Actions Enabled
  1. Повышение осведомленности пользователей: Проведите инструктаж сотрудников о недопустимости открытия подозрительных вложений, даже если система не выводит стандартное предупреждение о «файле из интернета».
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей