CVE-2026-21519
Microsoft Windows
2026-02-10
Microsoft Desktop Windows Manager contains a type confusion vulnerability that could allow an authorized attacker to elevate privileges locally.
Технический анализ и план устранения
Суть уязвимости
Уязвимость CVE-2026-21519 затрагивает компонент Microsoft Desktop Window Manager (DWM), который отвечает за композицию и отрисовку графического интерфейса в операционных системах Windows. Проблема заключается в ошибке путаницы типов (Type Confusion) при обработке специфических объектов в памяти компонентом DWM. Локальный злоумышленник, уже имеющий базовый доступ к системе (авторизованный пользователь с минимальными правами), может запустить специально подготовленное приложение. Успешная эксплуатация приводит к повреждению памяти и позволяет атакующему выполнить произвольный код с максимальными системными привилегиями (NT AUTHORITY\SYSTEM). Данная уязвимость является классическим примером локального повышения привилегий (Local Privilege Escalation, LPE) и часто используется в цепочках атак после первоначального проникновения.
Как исправить
Единственным гарантированным способом устранения уязвимости является установка официального кумулятивного обновления безопасности от Microsoft. Определите номер статьи базы знаний (KB), соответствующий вашей версии ОС Windows, сверившись с порталом Microsoft Security Response Center (MSRC). Централизованно разверните обновление на все рабочие станции и серверы, используя WSUS, Microsoft Endpoint Configuration Manager (MECM) или ваше решение для Patch Management. Для проверки и установки обновлений на отдельном хосте через PowerShell (с использованием модуля PSWindowsUpdate) выполните установку модуля:
Install-Module -Name PSWindowsUpdate -Force -SkipPublisherCheck
Запустите процесс скачивания и установки обновлений с автоматической перезагрузкой системы:
Install-WindowsUpdate -AcceptAll -AutoReboot
Временные меры
Поскольку процесс dwm.exe является критически важным для работы графической подсистемы Windows, его невозможно остановить или отключить без полной потери работоспособности GUI. До установки патча необходимо сфокусироваться на снижении поверхности атаки и детектировании.
Внедрите строгие политики Application Control (AppLocker или WDAC), чтобы запретить запуск неизвестных и неподписанных исполняемых файлов, скриптов и библиотек из директорий, доступных пользователю для записи (например, C:\Users\*\AppData\Local\Temp).
Настройте правила в вашей EDR-системе или Sysmon (Event ID 1) для мониторинга процесса dwm.exe.
Создайте алерты на любые попытки процесса dwm.exe породить дочерние процессы (особенно командные оболочки, такие как cmd.exe или powershell.exe), так как в нормальных условиях DWM этого не делает.
Для ручной проверки текущих дочерних процессов DWM на подозрительном хосте используйте команду:
Get-CimInstance Win32_Process | Where-Object { $_.ParentProcessId -eq (Get-Process dwm -ErrorAction SilentlyContinue).Id }
Временно ограничьте доступ по RDP к критически важным серверам и рабочим станциям, оставив его только для администраторов, чтобы минимизировать риск запуска эксплойта скомпрометированным рядовым пользователем.