CVE-2024-43572

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-10-08

Официальное описание

Microsoft Windows Management Console contains unspecified vulnerability that allows for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-43572 — это критическая уязвимость в консоли управления Microsoft (Microsoft Management Console, MMC), позволяющая злоумышленнику выполнить произвольный код (RCE) в системе. Проблема связана с тем, как MMC обрабатывает файлы оснасток (.msc).

Уязвимость возникает при открытии специально подготовленного файла консоли, который может содержать вредоносные элементы. В случае успешной эксплуатации атакующий получает права текущего пользователя. Если пользователь обладает правами администратора, злоумышленник может получить полный контроль над скомпрометированной системой. Microsoft классифицирует эту уязвимость как "Exploitation More Likely" (эксплуатация более вероятна), так как она уже была замечена в реальных атаках (0-day).

Как исправить

Основным и наиболее надежным способом устранения уязвимости является установка официальных обновлений безопасности Microsoft от октября 2024 года (Patch Tuesday). Обновление вносит изменения в механизмы проверки файлов оснасток, предотвращая выполнение недоверенного кода.

Для исправления выполните следующие действия:

  1. Откройте «Параметры» -> «Обновление и безопасность» -> «Центр обновления Windows».
  2. Нажмите «Проверить наличие обновлений».
  3. Установите накопительный пакет обновления, соответствующий вашей версии ОС (например, KB5044284 для Windows 11 или KB5044281 для Windows 10).
  4. Перезагрузите систему.

Для автоматизации процесса в корпоративной среде используйте PowerShell:

Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Временные меры

Если немедленная установка патчей невозможна, необходимо минимизировать векторы атаки с помощью следующих мер:

  1. Блокировка недоверенных .msc файлов: Запретите открытие файлов с расширением .msc, полученных из интернета или от внешних источников. Настройте OpenWithProgids в реестре или используйте политики ассоциаций файлов.

  2. Использование Windows Defender Application Control (WDAC): Настройте политики WDAC для предотвращения запуска неавторизованных оснасток MMC. Это заблокирует выполнение вредоносных файлов, даже если пользователь попытается их открыть.

  3. Принцип минимальных привилегий: Ограничьте использование учетных записей с правами администратора для повседневных задач. Это не предотвратит выполнение кода, но значительно снизит потенциальный ущерб.

  4. Проверка через PowerShell: Администраторы могут временно ограничить запуск mmc.exe через AppLocker или политики ограниченного использования программ (SRP) для обычных пользователей:

New-AppLockerPolicy -FileInformation (Get-AppLockerFileInformation -Path "C:\Windows\System32\mmc.exe") -User Everyone -Deny
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей