一、漏洞概述
近日,绿盟科技CERT监测到微软发布紧急通告,披露了Windows 权限提升漏洞(CVE-2021-36934)。由于对多个系统文件(包括安全帐户管理器 (SAM) 数据库)的访问控制列表 (ACL) 过于宽松,当系统启用了内置管理员账户(administrator)时,普通用户可以利用此漏洞结合哈希传递攻击实现权限提升,从而在目标主机上以SYSTEM权限执行任意代码。目前漏洞细节与利用程序已公开,建议相关用户进行排查并采取措施进行防护。
绿盟科技CERT已成功复现此漏洞:
参考链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934
二、影响范围
受影响版本
- Windows Server, version 20H2 (Server Core Installation)
- Windows Server, version 2004 (Server Core installation)
- Windows Server 2019 (Server Core installation)
- Windows Server 2019
- Windows 10 Version 21H1 for x64-based Systems
- Windows 10 Version 21H1 for ARM64-based Systems
- Windows 10 Version 21H1 for 32-bit Systems
- Windows 10 Version 20H2 for x64-based Systems
- Windows 10 Version 20H2 for ARM64-based Systems
- Windows 10 Version 20H2 for 32-bit Systems
- Windows 10 Version 2004 for x64-based Systems
- Windows 10 Version 2004 for ARM64-based Systems
- Windows 10 Version 2004 for 32-bit Systems
- Windows 10 Version 1909 for x64-based Systems
- Windows 10 Version 1909 for ARM64-based Systems
- Windows 10 Version 1909 for 32-bit Systems
- Windows 10 Version 1809 for x64-based Systems
- Windows 10 Version 1809 for ARM64-based Systems
- Windows 10 Version 1809 for 32-bit Systems
三、漏洞检测
3.1 人工检测
系统版本在影响范围的用户可使用管理员权限运行下列命令查看VSS卷影进行排查:
| vssadmin list shadows |
若启用了系统保护且创建了系统还原点(大于128G的系统驱动盘执行Windows 更新或安装 MSI默认创建VSS卷影副本),则受此漏洞影响。
四、漏洞防护
4.1 防护措施
目前官方暂未发布修复补丁,受影响用户可通过下列措施进行临时防护:
1、限制对 %windir%\system32\config 内容的访问
以管理员身份运行命令提示符执行下列命令:
| icacls %windir%\system32\config\*.* /inheritance:e |
或以管理员身份运行PowerShell执行下列命令:
| icacls $env:windir\system32\config\*.* /inheritance:e |
2、删除卷影复制服务 (VSS) 卷影副本
删除限制访问 %windir%\system32\config 之前存在的全部系统还原点和卷影(如需要可创建新的系统还原点)。
3、在不影响正常功能的前提下,可禁用内置管理员账户。
注意:以上删除卷影副本的缓解措施可能会影响还原操作,包括使用第三方备份应用程序还原数据的能力。但必须限制访问并删除卷影副本才能防止利用此漏洞。
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。