Windows權限提升漏洞（CVE-2021-36934）預警

一、漏洞情況

7月20日，微軟緊急發布了Windows權限提升漏洞的風險通告，漏洞CVE編號：CVE-2021-36934。攻擊者可利用該漏洞在目標設備上以SYSTEM權限運行任意代碼。報告中指出該漏洞細節及POC已公開，極有可能存在被利用情況。目前微軟暫未發布漏洞修復補丁，但針對該漏洞已給出臨時緩解方法。建議受影響用戶通過臨時緩解方法進行防護，并做好資產自查以及預防工作，以免遭受黑客攻擊。

二、漏洞等級

高危

三、漏洞描述

該漏洞是由于Windows對多個系統文件（包括安全帳戶管理器 (SAM) 數據庫）的訪問控制列表 (ACL) 過于寬松，存在權限提升漏洞。成功利用該漏洞的攻擊者可以使用SYSTEM權限運行任意代碼。攻擊者也可以安裝程序；查看、更改或刪除數據；或創建具有完全用戶權限的新帳戶。

四、影響范圍

• Windows Server, version 20H2 (Server Core Installation)
• Windows 10 Version 20H2 for ARM64-based Systems
• Windows 10 Version 20H2 for 32-bit Systems
• Windows 10 Version 20H2 for x64-based Systems
• Windows Server, version 2004 (Server Core installation)
• Windows 10 Version 2004 for x64-based Systems
• Windows 10 Version 2004 for ARM64-based Systems
• Windows 10 Version 2004 for 32-bit Systems
• Windows 10 Version 21H1 for 32-bit Systems
• Windows 10 Version 21H1 for ARM64-based Systems
• Windows 10 Version 21H1 for x64-based Systems
• Windows 10 Version 1909 for ARM64-based Systems
• Windows 10 Version 1909 for x64-based Systems
• Windows 10 Version 1909 for 32-bit Systems
• Windows Server 2019 (Server Core installation)
• Windows Server 2019
• Windows 10 Version 1809 for ARM64-based Systems
• Windows 10 Version 1809 for x64-based Systems
• Windows 10 Version 1809 for 32-bit Systems

五、安全建議

目前微軟官方暫未發布安全更新，建議用戶通過臨時緩解方法進行防護。

臨時緩解方法：

1. 限制對 %windir%\system32\config 內容的訪問

以管理員身份打開命令提示符或 Windows PowerShell，運行以下命令：

icacls %windir%\system32\config\*.* /inheritance:e

2. 刪除卷影復制服務 (VSS) 卷影副本

刪除限制訪問 %windir%\system32\config 之前存在的任何系統還原點和卷影卷。創建一個新的系統還原點（如果需要）。

注：變通辦法的影響刪除卷影副本可能會影響還原操作，包括使用第三方備份應用程序還原數據的能力。必須限制訪問并刪除卷影副本以防止利用該漏洞。

六、參考鏈接

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934