Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞 (CVE-2021-36934)。這個可提升權限的漏洞源自於系統中對於部分系統檔案的過度寬鬆的存取政策,包括 Security Accounts Manager (SAM) 資料庫,一般使用者可以透過該漏洞提升權限,以系統權限執行惡意碼、查閱、更改或刪除資料或建立有完整權限的新使用者帳號等。
目前受影響到的是主要 Windows 10 以及測試中的 Windows 11,不過從 Microsoft 官方發布的訊息中,看到了 Windows Server 2019 也是受影響的標的之一。這個問題需要被特別注意的是目前尚無修補程式 (Patch) 可以進行更新,短期因應可以參考官方提出的暫行方案 (workaround),例如可以刪除該受影響的 Volume Shadow Copy 等作法。(請參考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934)
如以 PCI DSS 的合規角度來看這個問題,首先,這個漏洞的 CVSS 分數,在 Base Score Metrics 是 7.8 分屬於高於 7 分的高風險項目,是一個應於 30 天內進行 Patch 的項目,如沒有合適的 Patch 也應尋求其他的補強方案,如果 ASV (Approved Scanning Vendor) 外部弱點掃描遇到這個問題,應該會導致外弱掃無法通過的窘境。
除了工作人員使用的個人電腦外,在機房中也常見使用 Windows 10 作為跳板機使用,由於 Windows 的跳板機,有可能配置給不同人員權限,也要注意是否會有一般使用者利用這個漏洞進行其他未受權的動作或進行攻擊。
針對這個問題要如何保持合規呢? 安律信息為你提供以下建議:
- 先依據官方的暫行方案,限制特定的系統目錄存取、刪除從 Volume Shadow Copy Service (磁碟區陰影複製服務, VSS) 的複製備份。而移除陰影備份檔案所造成的影響,則為無法透過ㄧ些備份/還原工具,對系統進行還原。所以這段尚未有修補程式的這段期間,就可先避免進行還原作業。
- 暫時性的限制 “非主機管理權限 (Administrator)” 人員登入到主機,這個弱點的問題是在於一般使用者帳號可以存取到核心的配置檔案、SAM 資料庫等,所以暫時性限制非主機管理權限的人員,可避免提升權限的攻擊。
- 將內部弱點掃描工具的掃描資料庫更新到最新版本,並進行掃描,以確認目前使用的工具是否能掃描到這個問題。
安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一家專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。
- PCI 安全認證: www.securevectors.com
- SecuCollab 合規安全代管服務: www.secucollab.com
- SecuCompliance 合規管理平台: www.secucompliance.com
你可能會喜歡看
https://www.securevectors.com/wp-content/uploads/2024/11/PCI-DSS-SAQ-type_TC.png
2122
2882
YSLu
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
YSLu2024-11-09 16:25:002024-11-12 15:18:49您適用哪一個 PCI DSS SAQ 類型?
https://www.securevectors.com/wp-content/uploads/2024/06/News-0830.png
628
838
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li2024-08-31 21:42:472024-11-10 00:07:02【PCI DSS 過證懶人包】資安小白也能輕鬆達標
https://www.securevectors.com/wp-content/uploads/2021/02/PCI-3DS-驗證-3-步驟-scaled.jpg
1564
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li2024-08-14 17:00:272024-09-08 10:45:43PCI DSS 認證的流程以及合規費用說明
https://www.securevectors.com/wp-content/uploads/2023/12/PCI-DSS-v4.0-意象圖-方版.jpg
663
960
YSLu
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
YSLu2023-09-15 16:15:002024-09-08 10:46:21如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?
https://www.securevectors.com/wp-content/uploads/2023/08/2023-08-01-漏洞修補意象圖-方版_繁中.jpg
960
1280
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li2023-08-15 17:35:592024-09-08 10:46:31【GCP】使用 Google Cloud Build 的要小心了
https://www.securevectors.com/wp-content/uploads/2023/07/20230725-繁中-方版.jpg
960
1280
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li2023-07-31 11:01:212024-09-08 10:46:39【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎?
https://www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg
850
1332
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li2022-04-14 17:38:092024-09-08 10:46:552022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?
https://www.securevectors.com/wp-content/uploads/2022/04/表單img20220330-e1649919971244.jpg
339
351
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li2022-04-14 14:52:402022-04-14 16:33:20支付產業合規新挑戰-研討會簡報檔案
https://www.securevectors.com/wp-content/uploads/2021/08/h_mp06-scaled.jpg
1707
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li2021-08-19 15:52:252024-09-08 10:41:53PCI DSS V4.0 您準備好了嗎?-研討會簡報檔案
https://www.securevectors.com/wp-content/uploads/2021/02/PCI-3DS-驗證-3-步驟-scaled.jpg
1564
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li2024-08-14 17:00:272024-09-08 10:45:43PCI DSS 認證的流程以及合規費用說明
https://www.securevectors.com/wp-content/uploads/2023/12/PCI-DSS-v4.0-意象圖-方版.jpg
663
960
YSLu
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
YSLu2023-09-15 16:15:002024-09-08 10:46:21如何達成 PCI DSS v4.0 條文中 12.4.2 針對服務供應商的額外要求?
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
0
0
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li2023-08-25 17:42:512024-09-08 10:39:15集團業務重整 公告
https://www.securevectors.com/wp-content/uploads/2023/08/2023-08-01-漏洞修補意象圖-方版_繁中.jpg
960
1280
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li2023-08-15 17:35:592024-09-08 10:46:31【GCP】使用 Google Cloud Build 的要小心了
https://www.securevectors.com/wp-content/uploads/2023/07/20230725-繁中-方版.jpg
960
1280
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li2023-07-31 11:01:212024-09-08 10:46:39【FortiOS】SSL-VPN 重大安全漏洞 (CVE-2023-27997) 你修復了嗎?
https://www.securevectors.com/wp-content/uploads/2023/05/20230609-商周翁挺耀攝影-068-scaled.jpg
1707
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li2023-07-18 15:19:302023-07-18 15:39:06金融業上雲大鬆綁!九月新法即將上路,未來將有哪些機會與挑戰?
https://www.securevectors.com/wp-content/uploads/2023/05/PCI-DSS-QSA-Vincent.jpg
630
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li2023-03-19 17:57:192023-07-18 15:22:08合規共管助企業完成交易安全驗證
https://www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg
850
1332
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li2022-04-14 17:38:092024-09-08 10:46:552022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?
https://www.securevectors.com/wp-content/uploads/2021/07/Screenshot-2021-07-30-172522.jpg
345
464
arthur.li
https://www.securevectors.com/wp-content/uploads/2024/02/logo.svg
arthur.li2021-07-30 17:26:372024-09-08 10:47:10Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說?*如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com
我們會儘快回覆您的任何問題!
