Windows 提权漏洞（CVE-2021-36934）风险通告，POC已公开，暂无补丁

漏洞描述：

微软在7月20日发布安全公告，公开了一个Windows提权漏洞。由于对多个系统文件（包括安全帐户管理器 (SAM) 数据库）的访问控制列表 (ACL) 过于宽松，因此存在特权提升漏洞。

成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码，攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。攻击者必须能够在受害系统上执行代码才能利用此漏洞。

因漏洞POC已在互联网上公开，很可能黑产利用会较快到来。微软已紧急发布安全公告，腾讯安全专家建议用户密切关注该漏洞的更进一步信息。

漏洞编号：

CVE-2021-36934

漏洞等级：

严重，CVSS评分7.8

可利用性：

漏洞POC已公开，可利用性评估为“极可能被利用”，在野利用暂未发现。

受影响的版本：

Windows Server, version 20H2 (Server Core Installation)

Windows Server, version 2004 (Server Core installation)

Windows Server 2019  (Server Core installation)

Windows Server 2019

Windows 10 Version 21H1 for x64-based Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 2004 for x64-based Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for 32-bit Systems

漏洞解决办法：

目前微软尚未发布官方补丁，腾讯安全专家提醒用户须高度关注此漏洞。

漏洞缓解办法：

1.限制对 %windir%\system32\config 内容的访问

以管理员身份打开命令提示符或 Windows PowerShell；

运行命令： icacls %windir%\system32\config\*.* /inheritance:e

2.删除卷影复制服务 (VSS) 卷影副本

删除限制访问 %windir%\system32\config 之前存在的任何系统还原点和卷影卷。

创建一个新的系统还原点（如果需要）。

变通办法的影响删除卷影副本可能会影响还原操作，包括使用第三方备份应用程序还原数据的能力。

时间线：

2021.7.20，微软发布安全公告

2021.7.21，腾讯安全发布风险通告

2021.7.22，微软确认Win10、Win Server的主流版本均受漏洞影响

参考资料：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

扫描以下二维码关注“腾讯安全威胁情报中心”公众号，掌握最新的网络安全威胁情报。