即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞

Share on social media

Categories : 新闻, 知识

Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞 (CVE-2021-36934)。这个可提升权限的漏洞源自于系统中对于部分系统档案的过度宽松的存取政策，包括 Security Accounts Manager (SAM) 资料库，一般使用者可以透过该漏洞提升权限，以系统权限执行恶意码、查阅、更改或删除资料或建立有完整权限的新使用者帐号等。

目前受影响到的是主要 Windows 10 以及测试中的 Windows 11，不过从 Microsoft 官方发布的讯息中，看到了 Windows Server 2019 也是受影响的标的之一。这个问题需要被特别注意的是目前尚无修补程式 (Patch) 可以进行更新，短期因应可以参考官方提出的暂行方案 (workaround)，例如可以删除该受影响的 Volume Shadow Copy 等作法。 (请参考：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934)

如以 PCI DSS 的合规角度来看这个问题，首先，这个漏洞的 CVSS 分数，在 Base Score Metrics 是 7.8 分属于高于 7 分的高风险项目，是一个应于 30 天内进行 Patch 的项目，如没有合适的 Patch 也应寻求其他的补强方案，如果 ASV (Approved Scanning Vendor) 外部弱点扫描遇到这个问题，应该会导致外弱扫无法通过的窘境。

除了工作人员使用的个人电脑外，在机房中也常见使用 Windows 10 作为跳板机使用，由于 Windows 的跳板机，有可能配置给不同人员权限，也要注意是否会有一般使用者利用这个漏洞进行其他未受权的动作或进行攻击。

针对这个问题要如何保持合规呢? 安律信息为你提供以下建议：

先依据官方的暂行方案，限制特定的系统目录存取、删除从 Volume Shadow Copy Service (磁碟区阴影复制服务, VSS) 的复制备份。而移除阴影备份档案所造成的影响，则为无法透过ㄧ些备份/还原工具，对系统进行还原。所以这段尚未有修补程式的这段期间，就可先避免进行还原作业。
暂时性的限制 “非主机管理权限 (Administrator)” 人员登入到主机，这个弱点的问题是在于一般使用者帐号可以存取到核心的配置档案、SAM 资料库等，所以暂时性限制非主机管理权限的人员，可避免提升权限的攻击。
将内部弱点扫描工具的扫描资料库更新到最新版本，并进行扫描，以确认目前使用的工具是否能扫描到这个问题。

[/av_one_third]

Bryan Cheng

安律信息技术公司 PCI 资深合规 QSA 与顾问 - PCI QSA and Senior Consultant

Payment Card Industry Security, IT Security Management, Cloud Service Management
专业认证：PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

安律信息技术有限公司 Secure Vectors Information Technologies Inc.

安律信息技术有限公司，Secure Vectors Information Technologies Inc., 是一个专门从事支付产业安全管理服务的公司，包含技术检测、顾问咨询以即合规审查服务。我们的服务范围包括 PCI DSS 、PCI 3DS、PCI PIN Security 支付等卡产业安全标准并提供个人资料保护及 GDPR 适法性查检与顾问服务。

安律信息技术在美国、中国、新加坡、越南、台湾等地提供服务资料点，提供完整的服务。与合规相关的产品提供认证服务（合规审查）、合规安全代管以及合规管理平台等服务。