即刻因应: Windows 10/11 (CVE-2021-36934) 提全安全漏洞

Share on social media

Microsoft 于 2021/07/23 更新了一个 CVSS 超过 7 分的高风险安全漏洞 (CVE-2021-36934)。这个可提升权限的漏洞源自于系统中对于部分系统档案的过度宽松的存取政策,包括 Security Accounts Manager (SAM) 资料库,一般使用者可以透过该漏洞提升权限,以系统权限执行恶意码、查阅、更改或删除资料或建立有完整权限的新使用者帐号等。

目前受影响到的是主要 Windows 10 以及测试中的 Windows 11,不过从 Microsoft 官方发布的讯息中,看到了 Windows Server 2019 也是受影响的标的之一。这个问题需要被特别注意的是目前尚无修补程式 (Patch) 可以进行更新,短期因应可以参考官方提出的暂行方案 (workaround),例如可以删除该受影响的 Volume Shadow Copy 等作法。 (请参考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934)

如以 PCI DSS 的合规角度来看这个问题,首先,这个漏洞的 CVSS 分数,在 Base Score Metrics 是 7.8 分属于高于 7 分的高风险项目,是一个应于 30 天内进行 Patch 的项目,如没有合适的 Patch 也应寻求其他的补强方案,如果 ASV (Approved Scanning Vendor) 外部弱点扫描遇到这个问题,应该会导致外弱扫无法通过的窘境。

除了工作人员使用的个人电脑外,在机房中也常见使用 Windows 10 作为跳板机使用,由于 Windows 的跳板机,有可能配置给不同人员权限,也要注意是否会有一般使用者利用这个漏洞进行其他未受权的动作或进行攻击。

针对这个问题要如何保持合规呢? 安律信息为你提供以下建议:

  1. 先依据官方的暂行方案,限制特定的系统目录存取、删除从 Volume Shadow Copy Service (磁碟区阴影复制服务, VSS) 的复制备份。而移除阴影备份档案所造成的影响,则为无法透过ㄧ些备份/还原工具,对系统进行还原。所以这段尚未有修补程式的这段期间,就可先避免进行还原作业。
  2. 暂时性的限制 “非主机管理权限 (Administrator)” 人员登入到主机,这个弱点的问题是在于一般使用者帐号可以存取到核心的配置档案、SAM 资料库等,所以暂时性限制非主机管理权限的人员,可避免提升权限的攻击。
  3. 将内部弱点扫描工具的扫描资料库更新到最新版本,并进行扫描,以确认目前使用的工具是否能扫描到这个问题。

[/av_one_third]

Bryan Cheng

安律信息技术公司 PCI 资深合规 QSA 与 顾问 - PCI QSA and Senior Consultant
  • Payment Card Industry Security, IT Security Management, Cloud Service Management
  • 专业认证:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

安律信息技术有限公司  Secure Vectors Information Technologies Inc.

安律信息技术有限公司,Secure Vectors Information Technologies Inc., 是一个专门从事支付产业安全管理服务的公司,包含技术检测、顾问咨询以即合规审查服务。我们的服务范围包括 PCI DSS 、PCI 3DS、PCI PIN Security 支付等卡产业安全标准并提供个人资料保护及 GDPR 适法性查检与顾问服务。

安律信息技术在美国、中国、新加坡、越南、台湾等地提供服务资料点,提供完整的服务。与合规相关的产品提供认证服务(合规审查)、合规安全代管以及合规管理 平台等服务。


你可能会喜欢看

科普丨你的个人隐私,谁来守护?——读懂ISO 27701隐私信息管理体系

/
剛聊完就跳出廣告?從 ISO 27701 隱私資訊管理系統看企業如何落實個人資訊保護與隱私合規 滑手機時,你是否有過這樣的經歷:剛和朋友聊到某個產品,下一秒就收到了相關廣告推送?這種體驗常讓人細思極恐——我們的隱私數據與個人資訊保護防線,到底被誰拿走了?又是怎麼被使用的?是否會演變成嚴重的個人資料外洩事件? 在當今大數據經濟時代,全面落實個人資訊保護已不再是企業的「可選項」,而是維護品牌信任度的「必答題」。而…

科普丨一文读懂体系认证内审员

/
.seo-article-container { font-family: -apple-system,…

科普丨一文读懂ISO 27001医疗器材产业信息安全管理

/
医疗器材行业的数字安全防线:为何 ISO 27001…

科普丨一文读懂ISO 13485医疗器材质量管理体系

/
.seo-article-container { font-family: -apple-system, BlinkMacSystemFont,…

🔒 微软释出重大资安更新:修补 130 项漏洞!

🔒 微软释出重大资安更新:修补…

您适用哪一个 PCI DSS SAQ 类型?

/
您适用哪一个 PCI DSS SAQ 类型? PCI DSS Self-Assessment…

科普丨你的个人隐私,谁来守护?——读懂ISO 27701隐私信息管理体系

/
剛聊完就跳出廣告?從 ISO 27701 隱私資訊管理系統看企業如何落實個人資訊保護與隱私合規 滑手機時,你是否有過這樣的經歷:剛和朋友聊到某個產品,下一秒就收到了相關廣告推送?這種體驗常讓人細思極恐——我們的隱私數據與個人資訊保護防線,到底被誰拿走了?又是怎麼被使用的?是否會演變成嚴重的個人資料外洩事件? 在當今大數據經濟時代,全面落實個人資訊保護已不再是企業的「可選項」,而是維護品牌信任度的「必答題」。而…

科普丨一文读懂体系认证内审员

/
.seo-article-container { font-family: -apple-system,…

科普丨一文读懂ISO 27001医疗器材产业信息安全管理

/
医疗器材行业的数字安全防线:为何 ISO 27001…

科普丨一文读懂ISO 13485医疗器材质量管理体系

/
.seo-article-container { font-family: -apple-system, BlinkMacSystemFont,…

🔒 微软释出重大资安更新:修补 130 项漏洞!

🔒 微软释出重大资安更新:修补…
PCI DSS v4 training China

PCI DSS v4.0.1 合规培训课程_深圳

/
本课程针对支付卡产业数据安全标准(Payment…

* 如想了解更多合规服务,请您与我们联系 service@securevectors.com 我们会尽快回覆您的任何问题!

与我们联系

© 2020 Copyright - 安律信息技术有限公司 Secure Vectors Information Technologies Inc.