CVE-2025-24983

Microsoft Windows

ВЕРОЯТНОСТЬ 0.7%
Дата обнаружения

2025-03-11

Официальное описание

Microsoft Windows Win32 Kernel Subsystem contains a use-after-free vulnerability that allows an authorized attacker to elevate privileges locally.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2025-24983 представляет собой критическую уязвимость типа Use-After-Free (UAF) в подсистеме ядра Win32 (win32k.sys). Проблема возникает из-за некорректного управления жизненным циклом объектов в памяти при обработке определенных системных вызовов.

Авторизованный злоумышленник с низким уровнем привилегий может запустить специально подготовленное приложение, которое манипулирует объектами ядра. После освобождения памяти, занятой объектом, система продолжает обращаться к этому адресу. Это позволяет атакующему перезаписать данные в памяти ядра, что ведет к полному захвату контроля над системой и повышению привилегий до уровня SYSTEM.

Как исправить

Основным и единственным надежным способом устранения данной уязвимости является установка официальных обновлений безопасности от Microsoft (Patch Tuesday, февраль 2025).

  1. Проверьте наличие обновлений через Windows Update или используйте PowerShell для принудительного поиска:
Install-Module PSWindowsUpdate
Get-WindowsUpdate -Install -AcceptAll -AutoReboot
  1. Если вы используете Windows Server Update Services (WSUS) или Microsoft Endpoint Configuration Manager (MECM), убедитесь, что одобрены и развернуты следующие пакеты (в зависимости от версии ОС):
  2. Windows 10/11: Сводное обновление (Cumulative Update) за февраль 2025.

  3. Windows Server 2019/2022: Сводное обновление за февраль 2025.

  4. После установки обновлений проверьте версию файла win32kfull.sys, чтобы убедиться в применении патча:

(Get-Item $env:SystemRoot\System32\win32kfull.sys).VersionInfo.FileVersion

Временные меры

Если немедленная установка патчей невозможна, рекомендуется принять следующие меры для снижения поверхности атаки:

  1. Ограничение использования Win32k.sys: Используйте политики AppLocker или Windows Defender Application Control (WDAC), чтобы запретить запуск недоверенных исполняемых файлов, которые могут использовать специфические системные вызовы ядра.

  2. Включение фильтрации системных вызовов (для браузеров и песочниц): Убедитесь, что для критических приложений включена функция Win32k System Call Disabling через реестр или групповые политики (Exploit Protection):

Set-ProcessMitigation -Name "YourApp.exe" -Enable DisableWin32kSystemCalls

  1. Мониторинг подозрительной активности: Настройте аудит создания процессов и отслеживайте использование инструментов для локального повышения привилегий (LPE). Ищите события Event ID 4688 в журналах безопасности.

  2. Принцип минимальных привилегий: Максимально ограничьте количество пользователей с правами локального входа на критически важные серверы, так как уязвимость требует возможности локального выполнения кода.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей