【安全風險通告】CVE-2021-36934Windows 提權漏洞安全風險通告

風險通告

近日，奇安信CERT監測到微軟緊急發布CVE-2021-36934 Windows 提權漏洞通告，目前該漏洞細節及POC已公開。由于對多個系統文件（包括安全帳戶管理器 (SAM) 數據庫）的訪問控制列表 (ACL) 過于寬松，存在特權提升漏洞。成功利用此漏洞的攻擊者可以使用 SYSTEM 權限運行任意代碼。然后攻擊者可以安裝程序；查看、更改或刪除數據；或創建具有完全用戶權限的新帳戶。經過身份認證的攻擊者可利用此漏洞在目標設備上以SYSTEM 權限運行任意代碼。鑒于此漏洞細節及POC已公開，建議客戶盡快排查受影響機器并采用緩解措施。

當前漏洞狀態

細節是否公開

PoC狀態

EXP狀態

在野利用

是

已公開

已公開

未知

漏洞描述

近日，奇安信CERT監測到微軟緊急發布CVE-2021-36934 Windows 提權漏洞通告，目前該漏洞細節及POC已公開。由于對多個系統文件（包括安全帳戶管理器 (SAM) 數據庫）的訪問控制列表 (ACL) 過于寬松，存在特權提升漏洞。成功利用此漏洞的攻擊者可以使用 SYSTEM 權限運行任意代碼。然后攻擊者可以安裝程序；查看、更改或刪除數據；或創建具有完全用戶權限的新帳戶。經過身份認證的攻擊者可利用此漏洞在目標設備上以SYSTEM 權限運行任意代碼。

奇安信CERT已復現此漏洞，復現截圖如下：

經測試，該EXP利用時需要開啟系統保護，并且設置了系統還原點。如果Win10 C盤大于128G保護模式會默認開啟，并進行還原點備份，EXP會從這個備份的卷影dump sam文件從而進行利用。從目前我們的測試來看，由于Windows Server沒有授予BUILTIN\Users 對 c:\Windows\System32\config\SAM的讀訪問權限，此漏洞不影響Windows Server版本。客戶可通過以下命令（需要使用管理員權限）查看vss卷影是否開啟以排查受影響機器：

vssadmin list shadows

風險等級

奇安信 CERT風險評級為：高危

風險等級：藍色（一般事件）

影響范圍

微軟在通告中指出，目前已確認此問題會影響 Windows 10 版本 1809 以及更新的操作系統。

處置建議

目前微軟官方還未發布補丁，可采取以下緩解措施：

1、限制對 %windir%\system32\config 內容的訪問

以管理員身份打開命令提示符或 Windows PowerShell，運行以下命令：icacls %windir%\system32\config\*.* /inheritance:e

2、刪除卷影復制服務 (VSS) 卷影副本

刪除限制訪問 %windir%\system32\config 之前存在的任何系統還原點和卷影卷。創建一個新的系統還原點（如果需要）。

注意，變通辦法的影響刪除卷影副本可能會影響還原操作，包括使用第三方備份應用程序還原數據的能力。您必須限制訪問并刪除卷影副本以防止利用此漏洞。