ITよろづや

ITの参考になる情報を備忘録代わりに残していきます

Windowsの権限昇格の脆弱性 CVE-2021-36934 SYSTEM権限で任意のコードを実行する可能性と対策

Windowsの権限昇格の脆弱性 CVE-2021-36934 SYSTEM権限で任意のコードを実行する可能性があるそうです。

 

ちなみにマイクロソフトによると、「Windows 10 Version 1809」以降が同脆弱性の影響を受けるそうです。

 

情報元はこちら

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

 

Windowsの権限昇格の脆弱性
CVE-2021-36934

 

MITER CVE-2021-36934

CVSS:3.0 7.8 / 7.3

 

■ベーススコアメトリック
攻撃元区分 ローカル
攻撃条件の複雑さ 低
必要な特権レベル 低
ユーザー関与レベル なし
スコープ 変更なし
機密性 高
整合性 容易に攻撃可能
可用性 高

■テンポラルスコアメトリック
攻撃される可能性 攻撃可能
利用可能な対策のレベル 暫定
脆弱性情報の信頼性 確認済み

 

 

概要
Security Accounts Manager(SAM)データベースを含む複数のシステムファイルに過度に許容されるアクセス制御リスト(ACL)があるため、特権の昇格の脆弱性が存在します。この脆弱性の悪用に成功した攻撃者は、SYSTEM権限で任意のコードを実行する可能性があります。その後、攻撃者はプログラムをインストールする可能性があります。データを表示、変更、または削除する。または、完全なユーザー権限で新しいアカウントを作成します。

攻撃者は、この脆弱性を悪用するために、被害者のシステムでコードを実行する能力を持っている必要があります。

調査が進むにつれて、このCVEを更新します。

 

回避
%windir%\ system32 \ configのコンテンツへのアクセスを制限します

コマンドプロンプト(管理者として実行): icacls %windir%\system32\config\*.* /inheritance:e

Windows PowerShell(管理者として実行): icacls $env:windir\system32\config\*.* /inheritance:e

 

ボリュームシャドウコピーサービス(VSS)のシャドウコピーを削除する

%windir%\ system32 \ configへのアクセスを制限する前に存在していたシステムの復元ポイントとシャドウボリュームをすべて削除します。

新しいシステムの復元ポイントを作成します(必要な場合)。

回避策の影響シャドウコピーを削除すると、サードパーティのバックアップアプリケーションを使用してデータを復元する機能など、復元操作に影響を与える可能性があります。シャドウコピーを削除する方法の詳細については、KB5005357-ボリュームシャドウコピーの削除を参照してください。

KB5005357 - ボリューム シャドウ コピーの削除

 

注この脆弱性の悪用を防ぐには、アクセスを制限し、シャドウコピーを削除する必要があります。

 

注意バックアップからシステムを復元すると、許容度の高いACLも復元される可能性があるため、システムが脆弱な状態に戻ります。バックアップを復元した後、ACLが正しいことを確認して、復元操作によってこの脆弱性が再導入されなかったことを確認する必要があります。