高危！Windows提权漏洞，攻击者可获取系统SYSTEM权限

漏洞描述

近日, 亚信安全CERT监测发现微软发布了一个提权漏洞的公告（CVE-2021-36934）。该漏洞是由于Windows对多个系统文件（包括安全账户管理器(SAM)）的访问控制列表（ACL）控制不严格所致，攻击者利用此漏洞可以获取系统SYSTEM权限。该漏洞定级为高危漏洞，目前POC已经公开。

漏洞编号

CVE-2021-36934

漏洞等级

高危，CVSS评分 7.8

受影响的版本

截至目前

操作系统：Windows 10 版本：1809和之后的版本

漏洞利用条件：

1. 可以在目标系统上执行代码；

2. 目标系统开启系统保护；

3. 目标系统设置了还原点。

漏洞修复

1. 关注官方发布的安全补丁

目前微软官方尚未该漏洞的安全补丁，后续可以持续关注补丁下载地址：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

2. 临时修复建议

限制对%windir%\system32\config内容的访问（二选一）

• 命令提示符（以管理员身份运行）：icacls %windir%\system32\config\*.* /inheritance:e

• Windows PowerShell（以管理员身份运行）：icacls $env:windir\system32\config\*.* /inheritance:e

删除卷影复制服务 (VSS) 卷影副本

• 删除限制访问%windir%\system32\config之前存在的任何系统还原点和卷影卷。

• 创建一个新的系统还原点（如果需要）。

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

https://github.com/WiredPulse/Invoke-HiveNightmare