標籤存檔: ASV

即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞 (CVE-2021-36934)。這個可提升權限的漏洞源自於系統中對於部分系統檔案的過度寬鬆的存取政策,包括 Security Accounts Manager (SAM) 資料庫,一般使用者可以透過該漏洞提升權限,以系統權限執行惡意碼、查閱、更改或刪除資料或建立有完整權限的新使用者帳號等。

目前受影響到的是主要 Windows 10 以及測試中的 Windows 11,不過從 Microsoft 官方發布的訊息中,看到了 Windows Server 2019 也是受影響的標的之一。這個問題需要被特別注意的是目前尚無修補程式 (Patch) 可以進行更新,短期因應可以參考官方提出的暫行方案 (workaround),例如可以刪除該受影響的 Volume Shadow Copy 等作法。(請參考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934)

如以 PCI DSS 的合規角度來看這個問題,首先,這個漏洞的 CVSS 分數,在 Base Score Metrics 是 7.8 分屬於高於 7 分的高風險項目,是一個應於 30 天內進行 Patch 的項目,如沒有合適的 Patch 也應尋求其他的補強方案,如果 ASV (Approved Scanning Vendor) 外部弱點掃描遇到這個問題,應該會導致外弱掃無法通過的窘境。

除了工作人員使用的個人電腦外,在機房中也常見使用 Windows 10 作為跳板機使用,由於 Windows 的跳板機,有可能配置給不同人員權限,也要注意是否會有一般使用者利用這個漏洞進行其他未受權的動作或進行攻擊。

針對這個問題要如何保持合規呢? 安律信息為你提供以下建議:

  1. 先依據官方的暫行方案,限制特定的系統目錄存取、刪除從 Volume Shadow Copy Service (磁碟區陰影複製服務, VSS) 的複製備份。而移除陰影備份檔案所造成的影響,則為無法透過ㄧ些備份/還原工具,對系統進行還原。所以這段尚未有修補程式的這段期間,就可先避免進行還原作業。
  2. 暫時性的限制 “非主機管理權限 (Administrator)” 人員登入到主機,這個弱點的問題是在於一般使用者帳號可以存取到核心的配置檔案、SAM 資料庫等,所以暫時性限制非主機管理權限的人員,可避免提升權限的攻擊。
  3. 將內部弱點掃描工具的掃描資料庫更新到最新版本,並進行掃描,以確認目前使用的工具是否能掃描到這個問題。

         

Bryan Cheng

安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
  • Payment Card Industry Security, IT Security Management, Cloud Service Management
  • 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一家專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。


你可能會喜歡看

科普丨你的個人隱私,誰來守護?——讀懂ISO 27701隱私資訊管理體系

/
剛聊完就跳出廣告?從 ISO 27701 隱私資訊管理系統看企業如何落實個人資訊保護與隱私合規 滑手機時,你是否有過這樣的經歷:剛和朋友聊到某個產品,下一秒就收到了相關廣告推送?這種體驗常讓人細思極恐——我們的隱私數據與個人資訊保護防線,到底被誰拿走了?又是怎麼被使用的?是否會演變成嚴重的個人資料外洩事件? 在當今大數據經濟時代,全面落實個人資訊保護已不再是企業的「可選項」,而是維護品牌信任度的「必答題」。而…

科普丨一文讀懂體系認證內審員

/
.seo-article-container { font-family: -apple-system, BlinkMacSystemFont,…

科普丨一文讀懂ISO 27001醫療器材產業資訊安全管理

/
醫療器材行業的數位安全防線:為何 ISO 27001…

科普丨一文讀懂ISO 13485醫療器材品質管理體系

/
.seo-article-container { font-family: -apple-system, BlinkMacSystemFont,…

醫療器材製造商必讀:當網路安全成為「品質領導力」的核心考題

/
醫療器材網路安全新趨勢:從技術挑戰走向品質領導力與…

【重要聲明】安律國際(Secure Vectors)防範冒名釣魚與詐騙提醒

/
【重要聲明】安律國際(Secure Vectors)防範冒名釣魚與詐騙提醒 發布單位:安律國際股份有限公司 發布日期:2026…

安律國際取得 PCI DSS ASV 資格

/
📢安律國際取得 PCI DSS ASV 資格: 🌏亞太區少數同時具備四項…

🔒 微軟釋出重大資安更新:修補 130 項漏洞!

🔒 微軟釋出重大資安更新:修補…

科普丨你的個人隱私,誰來守護?——讀懂ISO 27701隱私資訊管理體系

/
剛聊完就跳出廣告?從 ISO 27701 隱私資訊管理系統看企業如何落實個人資訊保護與隱私合規 滑手機時,你是否有過這樣的經歷:剛和朋友聊到某個產品,下一秒就收到了相關廣告推送?這種體驗常讓人細思極恐——我們的隱私數據與個人資訊保護防線,到底被誰拿走了?又是怎麼被使用的?是否會演變成嚴重的個人資料外洩事件? 在當今大數據經濟時代,全面落實個人資訊保護已不再是企業的「可選項」,而是維護品牌信任度的「必答題」。而…

科普丨一文讀懂體系認證內審員

/
.seo-article-container { font-family: -apple-system, BlinkMacSystemFont,…

科普丨一文讀懂ISO 27001醫療器材產業資訊安全管理

/
醫療器材行業的數位安全防線:為何 ISO 27001…

科普丨一文讀懂ISO 13485醫療器材品質管理體系

/
.seo-article-container { font-family: -apple-system, BlinkMacSystemFont,…

醫療器材製造商必讀:當網路安全成為「品質領導力」的核心考題

/
醫療器材網路安全新趨勢:從技術挑戰走向品質領導力與…

【重要聲明】安律國際(Secure Vectors)防範冒名釣魚與詐騙提醒

/
【重要聲明】安律國際(Secure Vectors)防範冒名釣魚與詐騙提醒 發布單位:安律國際股份有限公司 發布日期:2026…

安律國際取得 PCI DSS ASV 資格

/
📢安律國際取得 PCI DSS ASV 資格: 🌏亞太區少數同時具備四項…

🔒 微軟釋出重大資安更新:修補 130 項漏洞!

🔒 微軟釋出重大資安更新:修補…

*如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com

我們會儘快回覆您的任何問題!

    請輸入右方所示文字 captcha

    即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞

    Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞 (CVE-2021-36934)。這個可提升權限的漏洞源自於系統中對於部分系統檔案的過度寬鬆的存取政策,包括 Security Accounts Manager (SAM) 資料庫,一般使用者可以透過該漏洞提升權限,以系統權限執行惡意碼、查閱、更改或刪除資料或建立有完整權限的新使用者帳號等。

    目前受影響到的是主要 Windows 10 以及測試中的 Windows 11,不過從 Microsoft 官方發布的訊息中,看到了 Windows Server 2019 也是受影響的標的之一。這個問題需要被特別注意的是目前尚無修補程式 (Patch) 可以進行更新,短期因應可以參考官方提出的暫行方案 (workaround),例如可以刪除該受影響的 Volume Shadow Copy 等作法。(請參考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934)

    如以 PCI DSS 的合規角度來看這個問題,首先,這個漏洞的 CVSS 分數,在 Base Score Metrics 是 7.8 分屬於高於 7 分的高風險項目,是一個應於 30 天內進行 Patch 的項目,如沒有合適的 Patch 也應尋求其他的補強方案,如果 ASV (Approved Scanning Vendor) 外部弱點掃描遇到這個問題,應該會導致外弱掃無法通過的窘境。

    除了工作人員使用的個人電腦外,在機房中也常見使用 Windows 10 作為跳板機使用,由於 Windows 的跳板機,有可能配置給不同人員權限,也要注意是否會有一般使用者利用這個漏洞進行其他未受權的動作或進行攻擊。

    針對這個問題要如何保持合規呢? 安律信息為你提供以下建議:

    1. 先依據官方的暫行方案,限制特定的系統目錄存取、刪除從 Volume Shadow Copy Service (磁碟區陰影複製服務, VSS) 的複製備份。而移除陰影備份檔案所造成的影響,則為無法透過ㄧ些備份/還原工具,對系統進行還原。所以這段尚未有修補程式的這段期間,就可先避免進行還原作業。
    2. 暫時性的限制 “非主機管理權限 (Administrator)” 人員登入到主機,這個弱點的問題是在於一般使用者帳號可以存取到核心的配置檔案、SAM 資料庫等,所以暫時性限制非主機管理權限的人員,可避免提升權限的攻擊。
    3. 將內部弱點掃描工具的掃描資料庫更新到最新版本,並進行掃描,以確認目前使用的工具是否能掃描到這個問題。

             

    Bryan Cheng

    安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
    • Payment Card Industry Security, IT Security Management, Cloud Service Management
    • 專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant

    安律信息技術有限公司 Secure Vectors Information Technologies Inc., 是一家專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。


    你可能會喜歡看

    科普丨你的個人隱私,誰來守護?——讀懂ISO 27701隱私資訊管理體系

    /
    剛聊完就跳出廣告?從 ISO 27701 隱私資訊管理系統看企業如何落實個人資訊保護與隱私合規 滑手機時,你是否有過這樣的經歷:剛和朋友聊到某個產品,下一秒就收到了相關廣告推送?這種體驗常讓人細思極恐——我們的隱私數據與個人資訊保護防線,到底被誰拿走了?又是怎麼被使用的?是否會演變成嚴重的個人資料外洩事件? 在當今大數據經濟時代,全面落實個人資訊保護已不再是企業的「可選項」,而是維護品牌信任度的「必答題」。而…

    科普丨一文讀懂體系認證內審員

    /
    .seo-article-container { font-family: -apple-system, BlinkMacSystemFont,…

    科普丨一文讀懂ISO 27001醫療器材產業資訊安全管理

    /
    醫療器材行業的數位安全防線:為何 ISO 27001…

    科普丨一文讀懂ISO 13485醫療器材品質管理體系

    /
    .seo-article-container { font-family: -apple-system, BlinkMacSystemFont,…

    醫療器材製造商必讀:當網路安全成為「品質領導力」的核心考題

    /
    醫療器材網路安全新趨勢:從技術挑戰走向品質領導力與…

    【重要聲明】安律國際(Secure Vectors)防範冒名釣魚與詐騙提醒

    /
    【重要聲明】安律國際(Secure Vectors)防範冒名釣魚與詐騙提醒 發布單位:安律國際股份有限公司 發布日期:2026…

    安律國際取得 PCI DSS ASV 資格

    /
    📢安律國際取得 PCI DSS ASV 資格: 🌏亞太區少數同時具備四項…

    🔒 微軟釋出重大資安更新:修補 130 項漏洞!

    🔒 微軟釋出重大資安更新:修補…

    科普丨你的個人隱私,誰來守護?——讀懂ISO 27701隱私資訊管理體系

    /
    剛聊完就跳出廣告?從 ISO 27701 隱私資訊管理系統看企業如何落實個人資訊保護與隱私合規 滑手機時,你是否有過這樣的經歷:剛和朋友聊到某個產品,下一秒就收到了相關廣告推送?這種體驗常讓人細思極恐——我們的隱私數據與個人資訊保護防線,到底被誰拿走了?又是怎麼被使用的?是否會演變成嚴重的個人資料外洩事件? 在當今大數據經濟時代,全面落實個人資訊保護已不再是企業的「可選項」,而是維護品牌信任度的「必答題」。而…

    科普丨一文讀懂體系認證內審員

    /
    .seo-article-container { font-family: -apple-system, BlinkMacSystemFont,…

    科普丨一文讀懂ISO 27001醫療器材產業資訊安全管理

    /
    醫療器材行業的數位安全防線:為何 ISO 27001…

    科普丨一文讀懂ISO 13485醫療器材品質管理體系

    /
    .seo-article-container { font-family: -apple-system, BlinkMacSystemFont,…

    醫療器材製造商必讀:當網路安全成為「品質領導力」的核心考題

    /
    醫療器材網路安全新趨勢:從技術挑戰走向品質領導力與…

    【重要聲明】安律國際(Secure Vectors)防範冒名釣魚與詐騙提醒

    /
    【重要聲明】安律國際(Secure Vectors)防範冒名釣魚與詐騙提醒 發布單位:安律國際股份有限公司 發布日期:2026…

    安律國際取得 PCI DSS ASV 資格

    /
    📢安律國際取得 PCI DSS ASV 資格: 🌏亞太區少數同時具備四項…

    🔒 微軟釋出重大資安更新:修補 130 項漏洞!

    🔒 微軟釋出重大資安更新:修補…

    *如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com

    我們會儘快回覆您的任何問題!

      請輸入右方所示文字 captcha