CVE-2023-36025
CVE-2023-36025 — это идентификатор уязвимости в операционной системе Microsoft Windows, связанной с обходом функции безопасности Windows Defender SmartScreen. Уязвимость позволяет злоумышленнику обойти механизмы проверки ссылок и файлов, что может привести к несанкционированному доступу к системе или выполнению вредоносного кода. CVE-2023-36025 была классифицирована как уязвимость типа «обход функции безопасности» (Security Feature Bypass) и получила высокий уровень опасности по шкале CVSS (Common Vulnerability Scoring System).
Описание уязвимости
Уязвимость CVE-2023-36025 затрагивает компонент Windows Defender SmartScreen — встроенную в Windows систему репутационной защиты, которая анализирует загружаемые файлы и веб-ссылки на предмет вредоносной активности. SmartScreen использует облачные базы данных Microsoft для проверки URL-адресов и файлов, блокируя доступ к известным вредоносным ресурсам. CVE-2023-36025 позволяет обойти эту проверку, что делает возможным открытие пользователем вредоносных ссылок или файлов без предупреждения системы.
Механизм эксплуатации
Эксплуатация уязвимости основана на манипуляции с URL-адресами. Злоумышленник может создать специально сформированную ссылку, которая при переходе по ней не будет проверена SmartScreen. В официальных бюллетенях Microsoft указывается, что для успешной атаки необходимо, чтобы пользователь перешёл по вредоносной ссылке, отправленной, например, по электронной почте или через мессенджер. После этого злоумышленник может получить доступ к системе с правами текущего пользователя, что позволяет выполнять произвольный код, устанавливать программы или просматривать данные.
Версии Windows, подверженные уязвимости
CVE-2023-36025 затрагивает широкий спектр версий операционной системы Windows, включая как клиентские, так и серверные редакции. Согласно данным Microsoft, уязвимость присутствует в следующих версиях:
- Windows 10 (все версии, включая 1507, 1607, 1809, 21H2, 22H2);
- Windows 11 (версии 21H2 и 22H2);
- Windows Server 2008 R2 (с установленным обновлением);
- Windows Server 2012, 2012 R2;
- Windows Server 2016, 2019, 2022.
Уязвимость затрагивает как 32-разрядные (x86), так и 64-разрядные (x64) архитектуры, а также системы на базе ARM.
История обнаружения и исправления
CVE-2023-36025 была впервые раскрыта в ноябре 2023 года. 14 ноября 2023 года Microsoft выпустила ежемесячное обновление безопасности (Patch Tuesday), в состав которого вошло исправление для данной уязвимости. Обновление получило идентификатор KB5032190 для Windows 11 и KB5032189 для Windows 10. Пользователям было рекомендовано установить обновление в кратчайшие сроки, так как уязвимость активно эксплуатировалась в реальных атаках.
Статус эксплуатации
По данным Microsoft, на момент выпуска исправления CVE-2023-36025 уже использовалась злоумышленниками в ограниченных целевых атаках. В официальном бюллетене безопасности указано, что уязвимость была обнаружена в результате внутреннего расследования Microsoft, а также подтверждена сторонними исследователями. Однако точные данные о масштабах эксплуатации и количестве пострадавших систем не раскрывались.
Влияние на безопасность
CVE-2023-36025 получила оценку 8,8 балла по шкале CVSS v3.1, что соответствует высокому уровню опасности. Основные риски включают:
- Обход защиты SmartScreen: злоумышленник может обойти предупреждения системы безопасности, что увеличивает вероятность успешного заражения системы.
- Повышение привилегий: хотя уязвимость не даёт полного контроля над системой, она позволяет выполнять код с правами текущего пользователя, что может быть использовано для последующей эскалации привилегий.
- Распространение вредоносного ПО: уязвимость может быть использована для распространения троянов, программ-вымогателей или шпионского ПО.
Рекомендации по защите
Для защиты от CVE-2023-36025 специалисты по информационной безопасности рекомендуют:
- Установить обновления безопасности: применить ноябрьские обновления 2023 года (KB5032190, KB5032189 и соответствующие обновления для серверных версий).
- Ограничить права пользователей: снизить привилегии учётных записей до минимально необходимых для работы.
- Использовать антивирусное ПО: включить защиту в реальном времени, в том числе от сторонних вендоров.
- Обучать пользователей: разъяснять правила безопасности при работе с электронной почтой и ссылками от неизвестных отправителей.
Связанные уязвимости
CVE-2023-36025 не является единственной уязвимостью, затрагивающей Windows Defender SmartScreen. В 2023 году были также зафиксированы другие подобные уязвимости, такие как CVE-2023-32019 и CVE-2023-38180, которые также позволяли обходить защиту SmartScreen. Microsoft регулярно выпускает обновления для устранения подобных проблем, однако их появление свидетельствует о сложности реализации механизмов репутационной защиты.
Источники
- Microsoft Security Response Center (MSRC) — бюллетень безопасности CVE-2023-36025, ноябрь 2023 года.
- National Vulnerability Database (NVD) — запись CVE-2023-36025, NIST.
- Common Vulnerability Scoring System (CVSS) — оценка уязвимости, версия 3.1.
- Документация Microsoft по Windows Defender SmartScreen.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →