近日，Windows 发布安全更新，公开了一个新的Windows 提权漏洞 CVE 2021-36934，成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。该漏洞POC已泄露，微软官方确认会影响Windows10、Windows Server的主流版本。

漏洞概述

由于对多个系统文件（包括安全帐户管理器 (SAM) 数据库）的访问控制列表 (ACL) 过于宽松，导致存在特权提升漏洞。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。

如何检查您的机器是否存在漏洞

SAM 是一个数据库文件，用于存储所有本地用户帐户的密码哈希。文件路径：%SystemRoot%\System32\Config\SAM，它被挂载在HLKM\SAM注册表下。

要检查您的系统是否易受攻击，请使用管理员权限执行以下命令：

如果你看到输出结果是：BUILTIN\USERS:(I)(RX)，表面您的系统存在漏洞（RX代表[READ/EXecute权限）。

图1 易受攻击的系统（Windows 21H1）

图2 正确的权限（Windows 10 build 1803）

在正常操作期间，Windows 内核在此文件上保持独占并锁定此系统文件。此功能可防止文件在操作系统运行时被复制到另一个位置。但是，此文件的副本可通过 Windows 卷影卷复制 (VSS) 获得。VSS 提供此卷的卷影副本—包括这些敏感的注册表配置单元文件。如果 VSS 副本可用，则非特权用户可以访问这些文件并提取密码哈希。

要确认您的系统是否启用了 VSS卷影卷复制，请使用管理员权限运行以下命令行：

没有 VSS 的机器将返回输出没有找到满足查询的项目。VSS 由系统保护使用，但也可以为备份软件和 Windows 更新启用。未来的软件安装还可以启用 VSS，以确保未来的操作系统安全。

此外，您计算机上的其他注册表配置单元（SYSTEM 和 SECURITY）可能具有错误配置的权限。这些配置单元可能包含存储在注册表文件中的潜在敏感数据，其中可能包括缓存的 Active Directory 凭据或 SECURITY 配置单元中存储的帐户密码。此漏洞可能会导致诸如 Silver Ticket 之类的攻击，但可能不像访问 SAM 数据库中的密码哈希那样容易被武器化。

Bitdefender推荐的缓解措施
这是一个严重的安全漏洞，我们敦促你立即确保所有的端点安全解决方案都是最新的，并在补丁可用后应用和安装最新的安全更新。其他建议包括：

确保您的系统是最新的：Bitdefender GravityZone 漏洞扫描与补丁管理 可以帮助快速扫描和管理所需的升级，以便在补丁可用时为您的系统做好应对此问题的准备。

系统配置错误是端点被入侵的常见原因。Bitdefender GravityZone端点风险分析可检测、识别和修复错误配置。如果您决定手动执行操作，请先进行备份和验证。删除注册表配置单元文件上用户的访问控制列表 (ACL) 不会自动从卷影副本中删除这些权限。在采取任何其他步骤之前，请验证删除 VSS 对其他系统组件的影响。

即使在执行了前面的步骤之后，也要持续监视端点的可疑活动。此外，Bitdefender EDR/XDR解决方案可以检测转储 SAM 数据库内容的攻击。

如果您在您的环境中部署了 Bitdefender EDR，请查看是否检测到SecurityAccountManagerFileAccess- 当异常进程访问 SAM 文件时触发此警报。

当从卷影副本中检索注册表配置单元文件时，Bitdefender EDR 中会触发另一个警报。

最后，虽然与此漏洞没有直接关系，但请注意 Bitdefender EDR 中与提供 SAM 转储功能的工具相关的检测（例如，使用 lsadump::sam 的 Mimikatz 或使用 secretsdump.py 的 Impacket）。

要了解有关 Bitdefender EDR 如何保护客户免受此类攻击的更多信息，请与Bitdefender解决方案顾问交谈：4000-132-568

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)