Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞 (CVE-2021-36934)。这个可提升权限的漏洞源自于系统中对于部分系统档案的过度宽松的存取政策,包括 Security Accounts Manager (SAM) 资料库,一般使用者可以透过该漏洞提升权限,以系统权限执行恶意码、查阅、更改或删除资料或建立有完整权限的新使用者帐号等。
目前受影响到的是主要 Windows 10 以及测试中的 Windows 11,不过从 Microsoft 官方发布的讯息中,看到了 Windows Server 2019 也是受影响的标的之一。这个问题需要被特别注意的是目前尚无修补程式 (Patch) 可以进行更新,短期因应可以参考官方提出的暂行方案 (workaround),例如可以删除该受影响的 Volume Shadow Copy 等作法。 (请参考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934 )
如以 PCI DSS 的合规角度来看这个问题,首先,这个漏洞的 CVSS 分数,在 Base Score Metrics 是 7.8 分属于高于 7 分的高风险项目,是一个应于 30 天内进行 Patch 的项目,如没有合适的 Patch 也应寻求其他的补强方案,如果 ASV (Approved Scanning Vendor) 外部弱点扫描遇到这个问题,应该会导致外弱扫无法通过的窘境。
除了工作人员使用的个人电脑外,在机房中也常见使用 Windows 10 作为跳板机使用,由于 Windows 的跳板机,有可能配置给不同人员权限,也要注意是否会有一般使用者利用这个漏洞进行其他未受权的动作或进行攻击。
针对这个问题要如何保持合规呢? 安律信息为你提供以下建议:
先依据官方的暂行方案,限制特定的系统目录存取、删除从 Volume Shadow Copy Service (磁碟区阴影复制服务, VSS) 的复制备份。而移除阴影备份档案所造成的影响,则为无法透过ㄧ些备份/还原工具,对系统进行还原。所以这段尚未有修补程式的这段期间,就可先避免进行还原作业。
暂时性的限制 “非主机管理权限 (Administrator)” 人员登入到主机,这个弱点的问题是在于一般使用者帐号可以存取到核心的配置档案、SAM 资料库等,所以暂时性限制非主机管理权限的人员,可避免提升权限的攻击。
将内部弱点扫描工具的扫描资料库更新到最新版本,并进行扫描,以确认目前使用的工具是否能扫描到这个问题。
[/av_one_third]Bryan Cheng 安律信息技术公司 PCI 资深合规 QSA 与 顾问 - PCI QSA and Senior Consultant
Payment Card Industry Security, IT Security Management, Cloud Service Management
专业认证:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant
安律國際股份有限公司 Secure Vectors Information Technologies Inc.
安律信息技术有限公司 Secure Vectors Information Technologies Inc.
安律信息技术有限公司,Secure Vectors Information Technologies Inc., 是一个专门从事支付产业安全管理服务的公司,包含技术检测、顾问咨询以即合规审查服务。我们的服务范围包括 PCI DSS 、PCI 3DS、PCI PIN Security 支付等卡产业安全标准并提供个人资料保护及 GDPR 适法性查检与顾问服务。
安律信息技术在美国、中国、新加坡、越南、台湾等地提供服务资料点,提供完整的服务。与合规相关的产品提供认证服务(合规审查)、合规安全代管以及合规管理 平台等服务。
你可能会喜欢看
您适用哪一个 PCI DSS SAQ 类型?
PCI DSS Self-Assessment…
https://www.securevectors.com/wp-content/uploads/2024/11/PCI-DSS-SAQ-type_SC.png
2122
2882
YSLu
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
YSLu 2024-11-09 17:11:23 2024-11-12 15:19:03 您适用哪一个 PCI DSS SAQ 类型? 【PCI DSS 过证懒人包】资安小白也能轻松达标
2024年电商、远程工作及外送平台消费等等型态持续成长,加速跨境交易和线上支付的使用率,支付卡资讯安全变成尤其重要。为了确保消费者的个人资料不被盗取或滥用,支付卡产业安全标准协会(简称…
https://www.securevectors.com/wp-content/uploads/2024/06/News-0830.png
628
838
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li 2024-09-08 09:35:37 2024-11-10 00:06:29 【PCI DSS 过证懒人包】资安小白也能轻松达标 1
服务供货商 (Service Providers) 每季需依据 PCI…
https://www.securevectors.com/wp-content/uploads/2023/12/PCI-DSS-v4.0-意象圖-方版_簡中.jpg
663
960
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li 2023-09-15 16:10:39 2023-12-20 23:13:15 如何达成 PCI DSS v4.0 条文中 12.4.2 针对服务供应商的额外要求? 2021-07-30
Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞…
https://www.securevectors.com/wp-content/uploads/2021/07/即刻因應-Windows-1011-提全安全漏洞-2.png
628
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li 2021-07-30 10:15:53 2023-09-15 21:25:30 即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞 2021-02-02
3D 验证 (3-D Secure)
消费者 (Consumer)…
https://www.securevectors.com/wp-content/uploads/2021/02/PCI-3DS-驗證-3-步驟-scaled.jpg
1564
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li 2021-02-02 16:37:16 2023-09-15 21:25:30 PCI 3DS 验证 3 步骤
2021-07-30
Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞…
https://www.securevectors.com/wp-content/uploads/2021/07/即刻因應-Windows-1011-提全安全漏洞-2.png
628
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li 2021-07-30 10:15:53 2023-09-15 21:25:30 即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞 2021-07-29
由于新冠肺炎 (COVID-19) 的冲击导致商业模式改变,中小型商店原来接受面对面交易的,纷纷移向线上电子商务的交易,因而产生信用卡资料安全保护的需求。PCI…
https://www.securevectors.com/wp-content/uploads/2021/07/Protect-Payment-Card-Data-1.png
1080
1920
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li 2021-07-29 14:44:13 2023-09-15 21:25:30 八大秘诀让中小企业在疫情中保护信用卡资料 2018-08-16
大部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 "這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
0
0
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li 2018-08-16 15:05:08 2018-08-16 17:15:47 支付卡营运标准的安全管理层次与精神 2018-08-07
由於長期以來駭客攻擊或資料洩漏的原因,過半是透過釣魚、竊取自其他來源先取得 Credential 後,才攻入目標的網站或主機,因此過去我們都稱 Two Factor Authentication 應該是防禦駭客最便宜的解決方案, 在以信用卡交易安全為標的的 PCI DSS 標準中...
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
0
0
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li 2018-08-07 15:03:25 2018-08-08 11:09:05 Reddit 遭骇了,Two Factor 被破解! 2018-06-14
解决方案,服务,组织规模,行业垂直和地区…
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
0
0
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li 2018-06-14 10:42:20 2018-06-14 11:56:49 支付安全市场到2022年将达到246亿美元:基于需要遵守PCI DSS指南和电子商务欺诈活动的崛起
* 如想了解更多合规服务,请您与我们联系 service@securevectors.com 我们会尽快回覆您的任何问题!