CVE-2024-49039

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-11-12

Официальное описание

Microsoft Windows Task Scheduler contains a privilege escalation vulnerability that can allow an attacker-provided, local application to escalate privileges outside of its AppContainer, and access privileged RPC functions.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-49039 — это уязвимость в планировщике заданий Microsoft Windows (Task Scheduler), позволяющая повысить привилегии (Privilege Escalation). Проблема заключается в недостаточной изоляции процессов внутри AppContainer.

Локальный злоумышленник может запустить специально подготовленное приложение, которое способно выйти за пределы песочницы AppContainer. Это позволяет приложению получать доступ к привилегированным функциям удаленного вызова процедур (RPC), которые в нормальных условиях должны быть ограничены. В результате атакующий может выполнять действия с правами более высокоуровневых учетных записей или системы.

Как исправить

Основным и рекомендуемым способом устранения уязвимости является установка официальных обновлений безопасности Microsoft (Patch Tuesday, ноябрь 2024 г.).

  1. Откройте «Параметры» (Settings) -> «Обновление и безопасность» (Update & Security) -> «Центр обновления Windows» (Windows Update).
  2. Нажмите «Проверить наличие обновлений» (Check for updates).
  3. Установите все доступные накопительные обновления (Cumulative Updates).

Для автоматизации процесса на большом количестве хостов используйте PowerShell для проверки и установки обновлений:

Install-Module PSWindowsUpdate -Force
Get-WindowsUpdate -Install -AcceptAll -AutoReboot

Для проверки того, что исправление (KB) установлено, используйте команду (номер KB зависит от версии ОС, например, для Windows 11 23H2 это KB5046633):

get-hotfix | findstr "5046633"

Временные меры

Если немедленная установка патчей невозможна, необходимо минимизировать риски с помощью следующих мер:

  1. Ограничение прав пользователей: Убедитесь, что пользователи работают под учетными записями с минимальными привилегиями (LUA). Это затруднит эксплуатацию уязвимости, требующей локального запуска кода.

  2. Мониторинг RPC-вызовов: Настройте расширенный аудит для отслеживания подозрительной активности процессов, выходящих из AppContainer. Используйте Sysmon для мониторинга доступа к RPC-интерфейсам.

  3. Блокировка подозрительных приложений: Используйте Windows Defender Application Control (WDAC) или AppLocker для запрета запуска неавторизованного ПО в пользовательских директориях.

  4. Проверка заданий планировщика: Регулярно проверяйте список активных задач на наличие подозрительных скриптов, созданных от имени обычных пользователей:

Get-ScheduledTask | Where-Object { $$.Principal.UserId -ne "SYSTEM" -and $$.Principal.UserId -ne "LocalService" }
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей