Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru |
CVE-2021-28310: уязвимость в Desktop Window Manager
Эксперты «Лаборатории Касперского» обнаружили CVE-2021-28310 — уязвимость нулевого дня в Windows, которую уже эксплуатируют злоумышленники.
Исследователи «Лаборатории Касперского» обнаружили уязвимость нулевого дня CVE-2021-28310 в Диспетчере окон рабочего стола (Desktop Window Manager), одном из компонентов Microsoft Windows. Согласно нашим данным, ее уже используют в своих атаках несколько группировок злоумышленников. Патч для CVE-2021-28310 только что вышел, и мы советуем установить его незамедлительно. А пока расскажем об этой уязвимости немного подробнее.
Что такое Диспетчер окон рабочего стола
Наверное, каждый знаком с оконным интерфейсом современных операционных систем — каждая программа открывается в своем окне, которое совершенно не обязательно должно занимать весь экран. Окна могут перекрывать друг друга, при этом верхнее отбрасывает аккуратную тень на нижнее. В Microsoft Windows за всю эту красоту — тени, прозрачность и так далее — отвечает компонент под названием Desktop Window Manager, тот самый Диспетчер окон рабочего стола.
Программы не рисуют свои окна напрямую на экране, а складывают информацию о них в буфер. Диспетчер окон рабочего стола забирает ее из каждого буфера и затем создает некую общую комбинированную картину, которая и отображается на экране пользователя. Когда вы, скажем, перемещаете окно одного приложения относительно окна другого, каждая отдельная программа не имеет ни малейшего понятия о том, должен ли ее интерфейс отбрасывать тень на то, что размещено под ним, — координацией занимается Диспетчер окон рабочего стола. Собственно, это один из ключевых сервисов в Windows, он существует еще со времен Windows Vista, а начиная с Windows 8 его невозможно отключить.
Что случилось с Диспетчером окон рабочего стола
Поскольку у Диспетчера есть информация о каждом окне, он, несомненно, является критически важным компонентом системы — имеет доступ к информации, содержащейся во всех окнах. Именно тут и кроется уязвимость, о которой мы уведомили Microsoft еще в феврале.
CVE-2021-28310, которую обнаружила наша технология предотвращения эксплойтов, относится к классу уязвимость эскалации привилегий. Благодаря ей программа могла определенным образом обманывать Диспетчер окон так, чтобы он выдавал доступ к информации, которая вообще-то не должна быть доступна посторонним процессам. В данном случае при выполнении определенных условий уязвимость позволяла атакующим запускать произвольный код на компьютере жертвы, то есть, по сути, получить полный контроль над машиной.
Что делать, чтобы избежать эксплуатации CVE-2021-28310
Поскольку уязвимость в Диспетчере окон рабочего стола уже эксплуатируется несколькими группировками, важно реагировать быстро. Вот что вы можете сделать:
- Как можно скорее установите патч, который Microsoft выпустила 13 апреля, на все компьютеры.
- Защитите все устройства надежным защитным решением. Для бизнеса мы, конечно же, не можем не порекомендовать Kaspersky Endpoint Security for Business. В частности, он содержит ту самую технологию предотвращения эксплойтов, которая помогла обнаружить эту уязвимость и позволяет детектировать и пресекать попытки ее эксплуатации.
Источник: Лаборатория Касперского
15.04.2021