- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 新华三人才研学中心
- 关于我们
威胁预警团队
2021/07/22
近日,新华三攻防实验室威胁预警团队监测到微软官方发布了一则Windows权限提升(CVE-2021-36934)的0day漏洞通告,该漏洞影响了近两年左右发布的所有Windows 10版本,攻击者可利用该漏洞在受害主机中将普通用户权限提升至SYSTEM权限,从而以系统权限执行任意代码,修改、查询、删除数据,并可创建任意权限的新账户。
目前该漏洞的完整利用程序已在互联网公开,且微软官方暂未发布漏洞修复补丁,建议受影响用户及时排查并处理。
从Windows 10 1809版本以来,虽然Windows在一定程度上限制了低权限用户对SAM、SYSTEM及SECURITY等多个系统敏感文件的访问,但仍存在访问控制不严,这些系统文件的副本会同时保存在Shadow Volume Copy创建的备份文件中,而微软一直未对该备份文件进行访问控制,从而导致提权漏洞的产生。文件路径如下:
C:\Windows\System32\config\sam
C:\Windows\System32\config\system
C:\Windows\System32\config\ssecurity
安装受影响的系统版本,利用该漏洞需要开启系统保护并设置系统还原点。
Windows 10 1809及之后的版本
高危
目前微软官方簪未发布漏洞修复补丁,可执行以下命令排查受影响版本是否存在漏洞及是否开启vss卷影(管理员权限)。
受影响用户可采取微软官方提供的如下两种临时缓解措施进行处理:
1、限制对 %windir%\system32\config 内容的访问
1)以管理员身份打开命令提示符,运行以下命令:icacls %windir%\system32\config\*.* /inheritance:e
2)以管理员身份打开Windows PowerShell,运行以下命令:icacls $env:windir\system32\config\*.* /inheritance:e
2、删除卷影复制服务 (VSS) 卷影副本
1)删除限制访问 %windir%\system32\config 之前存在的任何系统还原点和卷影卷2)创建一个新的系统还原点(如果需要)
注意,删除卷影副本可能会影响还原操作。
1、新华三云安全能力中心解决方案
新华三云安全能力中心知识库已更新该漏洞信息,可查询对应漏洞产生原理、升级补丁、修复措施等。
1、 https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934
产品与解决方案
售前咨询
售后咨询
人工在线咨询
