 |
|
|
|
Две уязвимости нулевого дня в Windows DWM: как защититься от эскалации привилегий до SYSTEM
Две уязвимости нулевого дня в Windows DWM: как защититься от эскалации привилегий до SYSTEMMicrosoft экстренно выпустила обновления безопасности для двух уязвимостей нулевого дня в компоненте Desktop Window Manager (DWM) — ключевом модуле Windows, отвечающем за отрисовку рабочего стола, окон и визуальных эффектов. Уязвимости обнаружил Сергей Тарасов, руководитель группы анализа уязвимостей экспертного центра безопасности Positive Technologies. Обе уязвимости позволяют злоумышленнику повысить привилегии до уровня SYSTEM, что дает полный контроль над устройством. Под ударом — Windows 10, 11, Server 2019, Server 2022 и Server 2025. Разберем технические детали уязвимостей, сценарии атак и дадим инструкцию по защите. Что это за уязвимости?Обе уязвимости содержатся в модуле `dwmcore.dll`, который входит в состав Desktop Window Manager (DWM). Этот компонент формирует итоговое изображение рабочего стола, всех приложений, окон, анимаций и визуальных эффектов.
PT-2026-40155 (CVE-2026-34336; BDU:2026-02245) - Оценка CVSS 3.1: 7.8 (высокая опасность) - Класс уязвимости: Переполнение буфера в куче (heap buffer overflow) - Суть: Позволяет записывать данные за пределами выделенной области памяти - Последствия: Нарушение работы системы или выполнение произвольного кода
PT-2026-40180 (CVE-2026-35419; BDU:2026-02246) - Оценка CVSS 3.1: 5.5 (средняя опасность) - Суть: Недостаток защиты в модуле DWM - Последствия: Эскалация привилегий Какие системы под ударом?Уязвимости затрагивают следующие версии Windows: Десктопные системы: - Windows 10 (все версии) - Windows 11 (все версии) Серверные системы: - Windows Server 2019 - Windows Server 2022 - Windows Server 2025
Полный список затронутых версий и разрядностей доступен в официальных бюллетенях Microsoft: - Бюллетень 1 - Бюллетень 2 Как работает атака?Для эксплуатации уязвимостей злоумышленнику необходимы:
Особая опасность для корпоративной среды Если атакован рабочий ноутбук, подключенный к корпоративной сети, хакер получает точку входа в инфраструктуру организации и может начать продвижение по сети (lateral movement). «DWM — один из ключевых элементов Windows, отвечающий за визуальное отображение интерфейса. Уязвимости в его модуле допускали эскалацию привилегий, даже если злоумышленник изначально имел ограниченный доступ. В первую очередь это чревато полной компрометацией устройства и утечкой конфиденциальных данных», - отмечает Сергей Тарасов, Positive Technologies. Что делать?
Убедитесь, что в вашей инфраструктуре используются затронутые версии Windows (см. список выше).
Скачайте и установите патчи Microsoft: - Бюллетень 1 - Бюллетень 2
Дополнительная информация в Банке данных угроз ФСТЭК: - [BDU:2026-02245](https://bdu.fstec.ru/vul/BDU:2026-02245) - [BDU:2026-02246](https://bdu.fstec.ru/vul/BDU:2026-02246)
Особое внимание уделите: - Машинам с доступом к критичным данным - Серверам, подключенным к интернету - Рабочим станциям с правами администратора Как проверить, что уязвимость не эксплуатировалась?Метод 1. Анализ логов Windows Event Log Проверьте следующие события: - Event ID 4688 (создание процесса) — ищите подозрительные процессы, запущенные от имени SYSTEM - Event ID 4624 (успешный вход в систему) — ищите аномальные входы после установки обновлений - Event ID 7045 (установка службы) — ищите новые службы, установленные без вашего ведома PowerShell-скрипт для автоматической проверки ```powershell # Получить все процессы, запущенные от имени SYSTEM за последние 24 часа Get-WinEvent -FilterHashtable @{LogName='Security'; ID=4688; StartTime=(Get-Date).AddDays(-1)} | Where-Object {$_.Properties[5].Value -eq 'SYSTEM'} | Select-Object TimeCreated, @{Name='ProcessName';Expression={$_.Properties[5].Value}} ``` Метод 2. Проверка целостности системных файлов ```cmd sfc /scannow DISM /Online /Cleanup-Image /RestoreHealth ``` Метод 3. Анализ модуля dwmcore.dll Проверьте хэш файла `C:\Windows\System32\dwmcore.dll`: ```powershell Get-FileHash C:\Windows\System32\dwmcore.dll -Algorithm SHA256 ``` Сравните с официальными хэшами Microsoft (список доступен в бюллетенях). Как защитить корпоративную сеть?
- Изолируйте критичные сегменты сети - Используйте VLAN для разделения рабочих станций и серверов - Настройте межсетевые экраны между сегментами
- Внедрите SIEM-систему для анализа логов - Настройте алерты на подозрительную активность (массовое создание процессов, аномальные входы)
- Используйте принцип наименьших привилегий (Least Privilege) - Запретите запуск непроверенного кода от имени администратора - Используйте AppLocker или Windows Defender Application Control
- Внедрите автоматическое тестирование и развертывание патчей - Приоритизируйте критичные обновления (CVSS > 7.0) - Ведите реестр установленных обновлений
Безопасность, Windows, уязвимости, CVE-2026-35419, CVE-2026-34336, DWM, эскалация привилегий, патчинг, Microsoft, Positive Technologies. Редакция журнала «Системный администратор»
|
|
