CVE-2025-21418

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-02-11

Официальное описание

Microsoft Windows Ancillary Function Driver for WinSock contains a heap-based buffer overflow vulnerability that allows for privilege escalation, enabling a local attacker to gain SYSTEM privileges.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-21418 представляет собой критическую уязвимость типа Heap-based Buffer Overflow (переполнение буфера в куче) в драйвере вспомогательных функций Microsoft Windows для WinSock (afd.sys).

Драйвер afd.sys является основным интерфейсом для сетевых сокетов в Windows. Из-за некорректной обработки специфических запросов ввода-вывода (IOCTL), локальный аутентифицированный злоумышленник с низким уровнем привилегий может вызвать контролируемое переполнение памяти в режиме ядра. Успешная эксплуатация позволяет выполнить произвольный код с правами SYSTEM, что ведет к полному захвату контроля над операционной системой.

Как исправить

Основным и единственным надежным способом устранения уязвимости является установка официальных обновлений безопасности от Microsoft (Patch Tuesday, февраль 2025).

  1. Автоматическое обновление через Windows Update: Перейдите в Параметры > Обновление и безопасность > Центр обновления Windows и нажмите Проверить наличие обновлений.

  2. Ручная установка через Microsoft Update Catalog: Необходимо скачать кумулятивный пакет обновления, соответствующий вашей версии ОС (например, KB5049248 для Windows 11 23H2/24H2 или аналогичные для Windows 10 и Windows Server).

  3. Проверка версии файла через PowerShell: После установки обновления убедитесь, что версия драйвера afd.sys была обновлена.

(Get-Item $env:SystemRoot\System32\drivers\afd.sys).VersionInfo.FileVersion

Временные меры

Если немедленная установка патчей невозможна, необходимо применить меры по снижению поверхности атаки. Учтите, что данные меры могут повлиять на работу сетевых приложений.

  1. Ограничение доступа к устройству AFD (требует прав администратора): Вы можете временно ограничить доступ к объекту устройства драйвера, чтобы предотвратить взаимодействие непривилегированных пользователей с уязвимым кодом.
$path = "HKLM:\SYSTEM\CurrentControlSet\Services\AFD"
Set-ItemProperty -Path $path -Name "Start" -Value 4

Внимание: это полностью отключит сетевые функции WinSock после перезагрузки. Используйте только для критически уязвимых изолированных систем.

  1. Использование средств защиты (EDR/AV): Настройте правила мониторинга для обнаружения аномальных вызовов IOCTL к драйверу afd.sys. Современные EDR-системы могут блокировать попытки эксплуатации известных векторов переполнения кучи.

  2. Принцип минимальных привилегий: Убедитесь, что пользователи не работают под учетными записями с правами локального администратора, так как это упрощает цепочку атаки, хотя данная уязвимость и нацелена на повышение прав из-под обычного пользователя.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей