Открыть сервис

CVE-2023-36025

CVE-2023-36025 — это идентификатор уязвимости в операционной системе Microsoft Windows, связанной с обходом функции безопасности Windows Defender SmartScreen. Уязвимость позволяет злоумышленнику обойти механизмы проверки ссылок и файлов, что может привести к несанкционированному доступу к системе или выполнению вредоносного кода. CVE-2023-36025 была классифицирована как уязвимость типа «обход функции безопасности» (Security Feature Bypass) и получила высокий уровень опасности по шкале CVSS (Common Vulnerability Scoring System).

Описание уязвимости

Уязвимость CVE-2023-36025 затрагивает компонент Windows Defender SmartScreen — встроенную в Windows систему репутационной защиты, которая анализирует загружаемые файлы и веб-ссылки на предмет вредоносной активности. SmartScreen использует облачные базы данных Microsoft для проверки URL-адресов и файлов, блокируя доступ к известным вредоносным ресурсам. CVE-2023-36025 позволяет обойти эту проверку, что делает возможным открытие пользователем вредоносных ссылок или файлов без предупреждения системы.

Механизм эксплуатации

Эксплуатация уязвимости основана на манипуляции с URL-адресами. Злоумышленник может создать специально сформированную ссылку, которая при переходе по ней не будет проверена SmartScreen. В официальных бюллетенях Microsoft указывается, что для успешной атаки необходимо, чтобы пользователь перешёл по вредоносной ссылке, отправленной, например, по электронной почте или через мессенджер. После этого злоумышленник может получить доступ к системе с правами текущего пользователя, что позволяет выполнять произвольный код, устанавливать программы или просматривать данные.

Версии Windows, подверженные уязвимости

CVE-2023-36025 затрагивает широкий спектр версий операционной системы Windows, включая как клиентские, так и серверные редакции. Согласно данным Microsoft, уязвимость присутствует в следующих версиях:

Уязвимость затрагивает как 32-разрядные (x86), так и 64-разрядные (x64) архитектуры, а также системы на базе ARM.

История обнаружения и исправления

CVE-2023-36025 была впервые раскрыта в ноябре 2023 года. 14 ноября 2023 года Microsoft выпустила ежемесячное обновление безопасности (Patch Tuesday), в состав которого вошло исправление для данной уязвимости. Обновление получило идентификатор KB5032190 для Windows 11 и KB5032189 для Windows 10. Пользователям было рекомендовано установить обновление в кратчайшие сроки, так как уязвимость активно эксплуатировалась в реальных атаках.

Статус эксплуатации

По данным Microsoft, на момент выпуска исправления CVE-2023-36025 уже использовалась злоумышленниками в ограниченных целевых атаках. В официальном бюллетене безопасности указано, что уязвимость была обнаружена в результате внутреннего расследования Microsoft, а также подтверждена сторонними исследователями. Однако точные данные о масштабах эксплуатации и количестве пострадавших систем не раскрывались.

Влияние на безопасность

CVE-2023-36025 получила оценку 8,8 балла по шкале CVSS v3.1, что соответствует высокому уровню опасности. Основные риски включают:

  • Обход защиты SmartScreen: злоумышленник может обойти предупреждения системы безопасности, что увеличивает вероятность успешного заражения системы.
  • Повышение привилегий: хотя уязвимость не даёт полного контроля над системой, она позволяет выполнять код с правами текущего пользователя, что может быть использовано для последующей эскалации привилегий.
  • Распространение вредоносного ПО: уязвимость может быть использована для распространения троянов, программ-вымогателей или шпионского ПО.

Рекомендации по защите

Для защиты от CVE-2023-36025 специалисты по информационной безопасности рекомендуют:

  1. Установить обновления безопасности: применить ноябрьские обновления 2023 года (KB5032190, KB5032189 и соответствующие обновления для серверных версий).
  2. Ограничить права пользователей: снизить привилегии учётных записей до минимально необходимых для работы.
  3. Использовать антивирусное ПО: включить защиту в реальном времени, в том числе от сторонних вендоров.
  4. Обучать пользователей: разъяснять правила безопасности при работе с электронной почтой и ссылками от неизвестных отправителей.

Связанные уязвимости

CVE-2023-36025 не является единственной уязвимостью, затрагивающей Windows Defender SmartScreen. В 2023 году были также зафиксированы другие подобные уязвимости, такие как CVE-2023-32019 и CVE-2023-38180, которые также позволяли обходить защиту SmartScreen. Microsoft регулярно выпускает обновления для устранения подобных проблем, однако их появление свидетельствует о сложности реализации механизмов репутационной защиты.

Источники

  • Microsoft Security Response Center (MSRC) — бюллетень безопасности CVE-2023-36025, ноябрь 2023 года.
  • National Vulnerability Database (NVD) — запись CVE-2023-36025, NIST.
  • Common Vulnerability Scoring System (CVSS) — оценка уязвимости, версия 3.1.
  • Документация Microsoft по Windows Defender SmartScreen.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →