【安全通报】Windows 提权漏洞(CVE-2021-36934)

fmbd  7天前

product20210721.png

近日,Windows 发布安全更新,公开了一个Windows 提权漏洞,成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。该漏洞POC已泄露,微软官方确认会影响Win10、Win Server主流版本。

漏洞描述

CVE-2021-36934

由于对多个系统文件(包括安全帐户管理器 (SAM) 数据库)的访问控制列表 (ACL) 过于宽松,导致存在特权提升漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。
(注:攻击者必须能够在受害系统上执行代码才能利用此漏洞。)。

CVE 编号

CVE-2021-36934

影响范围

Windows Server, version 20H2 (Server Core Installation)

Windows Server, version 2004 (Server Core installation)

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 21H1 for x64-based Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 2004 for x64-based Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for 32-bit Systems

修复建议

该漏洞暂无安全补丁。

临时解决方案:

限制对 %windir%\system32\config 内容的访问:

  1. 以管理员身份打开命令提示符或 Windows PowerShell。

  2. 运行此命令:icacls %windir%\system32\config\*.* /inheritance:e

删除卷影复制服务 (VSS) 卷影副本:

  1. 删除限制访问 %windir%\system32\config 之前存在的任何系统还原点和卷影卷。

  2. 创建一个新的系统还原点(如果需要)。

(注:删除卷影副本可能会影响还原操作,包括使用第三方备份应用程序还原数据的能力;必须限制访问并删除卷影副本以防止利用此漏洞。)

参考

[1] https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

[2] https://mp.weixin.qq.com/s/4Qv_ClxfZwTo8fYr80FKmg


白帽汇从事信息安全,专注于安全大数据、企业威胁情报。

公司产品:FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

为您提供:网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。

最新评论

昵称
邮箱
提交评论