Как защититься от новой уязвимости Windows? Рекомендации по настройке продуктов ИнфоТеКС
Компания ИнфоТеКС рекомендует пользователям продуктов ViPNet SafePoint, ViPNet EndPoint Protection и ViPNet IDS HS выполнить набор настроек для противодействия уязвимости нулевого дня CVE-2021-41379.
22 ноября 2021 года в открытых источниках был выложен рабочий эксплойт на уязвимость нулевого дня Windows CVE-2021-41379, с помощью которого локальный пользователь с ограниченными правами может повысить привилегии до уровня SYSTEM.
Уязвимости подвержены все поддерживаемые Microsoft версии Windows, включая Windows 10, Windows 11 и даже Windows Server 2022. До настоящего времени уязвимость не закрыта, поэтому мы настоятельно рекомендуем выполнить следующие действия:
-
Пользователям ViPNet SafePoint настроить режим ЗПС. В этом режиме запрещается запуск созданных или измененных пользователем исполняемых файлов. Кроме того, ViPNet SafePoint позволяет защитить и ограничить в доступе уязвимые компоненты ОС, такие как служба Edge elevation, так как работает через свой драйвер и не использует DACL (Discretionary access control list) операционной системы.
-
Пользователям ViPNet EndPoint Protection и ViPNet IDS HS необходимо установить последние версии баз решающих правил (БРП), которые содержат правило по обнаружению - 300746 «Обнаружен запуск "cmd\ps" из-под Microsoft Edge Elevation Service с целостностью SECURITY_MANDATORY_SYSTEM_RID». Для предотвращения действий по эксплуатации данной уязвимости, БРП для ViPNet EndPoint Protection содержит правило модуля «Контроля приложений».
Для получения консультации и решения проблем, связанных с использованием продуктов ViPNet, свяжитесь со специалистами службы технической поддержки через форму обратной связи или напишите в телеграм-канал.
Ответы на часто задаваемые вопросы можно найти в разделе «Вопросы и ответы».