近日, 亚信安全CERT监测发现微软发布了一个提权漏洞的公告(CVE-2021-36934)。该漏洞是由于Windows对多个系统文件(包括安全账户管理器(SAM))的访问控制列表(ACL)控制不严格所致,攻击者利用此漏洞可以获取系统SYSTEM权限。该漏洞定级为高危漏洞,目前POC已经公开。
CVE-2021-36934
高危,CVSS评分 7.8
截至目前
操作系统:Windows 10 版本:1809和之后的版本
1. 可以在目标系统上执行代码;
2. 目标系统开启系统保护;
3. 目标系统设置了还原点。
1. 关注官方发布的安全补丁
目前微软官方尚未该漏洞的安全补丁,后续可以持续关注补丁下载地址:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934
2. 临时修复建议
限制对%windir%\system32\config内容的访问(二选一)
命令提示符(以管理员身份运行):icacls %windir%\system32\config\*.* /inheritance:e
Windows PowerShell(以管理员身份运行):icacls $env:windir\system32\config\*.* /inheritance:e
删除卷影复制服务 (VSS) 卷影副本
删除限制访问%windir%\system32\config之前存在的任何系统还原点和卷影卷。
创建一个新的系统还原点(如果需要)。
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934
https://github.com/WiredPulse/Invoke-HiveNightmare