【POC公开】CVE-2021-36934: Windows 特权提升漏洞通告

报告编号:B6-2021-072203

报告来源:360CERT

报告作者:360CERT

更新日期:2021-07-22

1、漏洞简述

近日360CERT监测发现微软发布了Windows特权提升漏洞的风险通告,漏洞编号为CVE-2021-36934,漏洞等级:严重,漏洞评分:7.8。

目前官方没有针对该漏洞的补丁,成功利用此漏洞的攻击者可以将普通用户权限提升至SYSTEM权限,并在目标机器上执行任意代码。对于攻击者的利用价值高。

该漏洞需要开启系统保护,并设置系统还原点才可利用,同时据官方描述该漏洞影响Windows 10 1809及之后的版本,具有一定的版本限制。但由于目前官方没有针对该漏洞的补丁,且在公网上存在已公开的漏洞利用程序,该漏洞的可利用性仍然极高。

对此,360CERT建议广大用户参考修复建议及时进行临时防御。与此同时,请做好资产自查以及预防工作,以免遭受黑客攻击。

2、风险等级

360CERT对该漏洞的评定结果如下

3、漏洞详情

CVE-2021-36934: Windows特权提升漏洞

CVE: CVE-2021-36934

组件: Windows10

漏洞类型: 特权提升

影响: 特权提升

简述: 该漏洞是由于Windows对多个系统文件(包括安全账户管理器(SAM))的访问控制列表(ACL)过于宽松所导致的特权提升漏洞。成功利用此漏洞的攻击者可以将普通用户权限提升至SYSTEM权限,并在目标机器上执行任意代码,从而达到控制目标系统的目的。

该漏洞存在一定的前置利用条件,需要目标系统开启系统保护,并设置了系统还原点才可进行攻击。目前360CERT已经复现该漏洞:

4、影响版本

-Microsoft:Windows10: 1809及之后的版本

5、修复建议

通用修补建议

目前该漏洞暂无官方补丁,官方推荐使用以下方式进行防御:

限制外部对%windir%\system32\config文件的访问:

1. 以管理员权限打开CMD或PowerShell

2. 运行该命令:icacls %windir%\system32\config\*.* /inheritance:e

删除卷影复制服务(VSS)副本:

1. 删除限制访问%windir%\system32\config之前存在的所有系统还原点和卷影

2. 创建一个新的系统还原点

6、时间线

2021-07-20微软发布通告

2021-07-21360CERT监测POC公开

2021-07-22360CERT完成POC验证并发布通告

7、参考链接

1、 微软官方通告

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

8、特制报告下载链接

一直以来,360CERT对全球重要网络安全事件进行快速通报、应急响应。为更好地为政企用户提供最新漏洞以及信息安全事件的安全通告服务,现360CERT正式推出安全通告特制版报告,以便用户做资料留存、传阅研究与查询验证。用户可直接通过以下链接进行特制报告的下载。

【POC公开】CVE-2021-36934: Windows 特权提升漏洞通告

http://certdl.qihucdn.com/cert-public-file/buddha_alert/【360CERT】【POC公开】CVE-2021-36934__Windows_特权提升漏洞通告.pdf

标签: