- 20,328
- 46
- 8 Ноя 2022
Теперь даже Office при запуске требует права бога.
Августовский пакет обновлений безопасности Windows неожиданно обернулся серьёзной головной болью для администраторов. В центре конфликта — уязвимость CVE-2025-50173, связанная с процессом аутентификации в Windows Installer . Ошибка позволяла локально повышать привилегии авторизованному пользователю. Чтобы закрыть дыру, Microsoft изменила логику работы службы и обязала систему требовать ввод учётных данных администратора при любых операциях восстановления MSI-пакетов и связанных действиях.
С технической точки зрения задача решена: путь к эксплуатации закрыт. Однако последствия оказались двоякими. Теперь даже штатные пользователи сталкиваются с неожиданными запросами UAC при запуске программ или при их внутренней реконфигурации. Ещё хуже обстоит дело с приложениями, которые автоматически инициируют MSI-repair без отображения интерфейса. В этих случаях инсталляция просто прерывается. Сам производитель привёл пример с Office Professional Plus 2010: стандартный пользователь при установке и запуске сталкивается с ошибкой 1730 и не может завершить конфигурацию.
Подобные ситуации возникают не только с офисными пакетами. Системные сообщения о необходимости админских прав могут всплывать при выполнении repair-команд, при запуске приложений Autodesk или при установке программ, где предусмотрена индивидуальная настройка для конкретного пользователя. Фактически под удар попали все поддерживаемые редакции Windows — от Windows 10 и Windows 11 до серверных выпусков, включая Windows Server 2012 и 2012 R2, находящиеся уже в расширенной фазе поддержки ESU.
Для корпоративных сред это создало настоящий организационный кризис. Microsoft в качестве временного решения советует запускать приложения от имени администратора. Для системных администраторов это звучит как сценарий из кошмара, ведь наделение рядовых сотрудников такими правами подрывает саму модель безопасности. В качестве альтернативы компания предлагает использовать Known Issue Rollback (KIR), позволяющий откатить изменения через групповую политику. Но данный механизм доступен далеко не всем: его можно задействовать только в Windows Server 2025 и 2022, а также в Windows 11 начиная с версии 22H2 и до 24H2, и в Windows 10 сборок 21H2 и 22H2.
Таким образом, разработчики устранили угрозу, но ценой серьёзных неудобств для пользователей и IT-отделов. Если администраторы начнут отключать сопутствующие механизмы ради стабильной работы, это нивелирует усилия по укреплению защиты. Microsoft подчёркивает, что такого шага предпринимать не стоит. Вместо этого компания готовит доработку: в будущих обновлениях системные администраторы смогут вручную разрешать определённым приложениям выполнять операции MSI-repair без обязательных запросов UAC.
Августовский пакет обновлений безопасности Windows неожиданно обернулся серьёзной головной болью для администраторов. В центре конфликта — уязвимость CVE-2025-50173, связанная с процессом аутентификации в Windows Installer . Ошибка позволяла локально повышать привилегии авторизованному пользователю. Чтобы закрыть дыру, Microsoft изменила логику работы службы и обязала систему требовать ввод учётных данных администратора при любых операциях восстановления MSI-пакетов и связанных действиях.
С технической точки зрения задача решена: путь к эксплуатации закрыт. Однако последствия оказались двоякими. Теперь даже штатные пользователи сталкиваются с неожиданными запросами UAC при запуске программ или при их внутренней реконфигурации. Ещё хуже обстоит дело с приложениями, которые автоматически инициируют MSI-repair без отображения интерфейса. В этих случаях инсталляция просто прерывается. Сам производитель привёл пример с Office Professional Plus 2010: стандартный пользователь при установке и запуске сталкивается с ошибкой 1730 и не может завершить конфигурацию.
Подобные ситуации возникают не только с офисными пакетами. Системные сообщения о необходимости админских прав могут всплывать при выполнении repair-команд, при запуске приложений Autodesk или при установке программ, где предусмотрена индивидуальная настройка для конкретного пользователя. Фактически под удар попали все поддерживаемые редакции Windows — от Windows 10 и Windows 11 до серверных выпусков, включая Windows Server 2012 и 2012 R2, находящиеся уже в расширенной фазе поддержки ESU.
Для корпоративных сред это создало настоящий организационный кризис. Microsoft в качестве временного решения советует запускать приложения от имени администратора. Для системных администраторов это звучит как сценарий из кошмара, ведь наделение рядовых сотрудников такими правами подрывает саму модель безопасности. В качестве альтернативы компания предлагает использовать Known Issue Rollback (KIR), позволяющий откатить изменения через групповую политику. Но данный механизм доступен далеко не всем: его можно задействовать только в Windows Server 2025 и 2022, а также в Windows 11 начиная с версии 22H2 и до 24H2, и в Windows 10 сборок 21H2 и 22H2.
Таким образом, разработчики устранили угрозу, но ценой серьёзных неудобств для пользователей и IT-отделов. Если администраторы начнут отключать сопутствующие механизмы ради стабильной работы, это нивелирует усилия по укреплению защиты. Microsoft подчёркивает, что такого шага предпринимать не стоит. Вместо этого компания готовит доработку: в будущих обновлениях системные администраторы смогут вручную разрешать определённым приложениям выполнять операции MSI-repair без обязательных запросов UAC.
- Источник новости
- www.securitylab.ru
