Как защититься/исправить новую уязвимость CVE-2021-36934?
Суть этой уязвимости заключается в том, что если вы выполните теневое копирование ваших важных файлов с хешированными паролями для всех учетных записей ОС, данными ключей шифрования и другой важной информацией (файлы, хранящиеся в SAM, SECURITY и SYSTEM) - вы сможете прочитайте их немедленно со стандартными правами пользователя.
Тогда как в стандартной ситуации после выполнения теневого копирования вы не сможете прочитать указанные файлы с правами пользователя. Другими словами, вы сможете повысить привилегии после получения желаемого хеша пароля.
Есть ли способы исправить это без установки последних обновлений Windows?
1 ответ
Мы используем обходной путь
Создайте файл .bat
icacls %windir%\system32\config\*.* /inheritance:e
vssadmin delete shadows /all /quiet
Создайте файл с именем Windows_10_all.mof.
instance of MSFT_SomFilter
{
Author = "Administrator@domain";
ChangeDate = "20210722135205.787000-000";
CreationDate = "20210722134746.125000-000";
Description = "Windows 10 Clients only";
Domain = "domain";
ID = "{677E2CEF-BCFC-46A5-B4D6-61C9A70250E8}";
Name = "Windows 10 Only";
Rules = {
instance of MSFT_Rule
{
Query = "Select * from Win32_OperatingSystem where Version like \"10.%\" and ProductType=\"1\"";
QueryLanguage = "WQL";
TargetNameSpace = "root\\CIMv2";
}};
};
Создайте объект групповой политики для сценария запуска.
Скопируйте вышеуказанный пакет в созданный каталог.
Использовать фильтр MWI
Перейдите к фильтру WMI, щелкните правой кнопкой мыши и импортируйте файл сверху.
или сделайте это лениво, создав вручную
"Select * from Win32_OperatingSystem where Version like \"10.%\" and ProductType=\"1\"";
После этого выберите объект групповой политики слева, а затем выберите справа внизу фильтр WMI.
Выводы
Это всего лишь обходной путь, который Microsoft советует сделать, большинство веб-сайтов объясняют только исправление файла, а не разрешений для папки.