Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞 (CVE-2021-36934)。這個可提升權限的漏洞源自於系統中對於部分系統檔案的過度寬鬆的存取政策,包括 Security Accounts Manager (SAM) 資料庫,一般使用者可以透過該漏洞提升權限,以系統權限執行惡意碼、查閱、更改或刪除資料或建立有完整權限的新使用者帳號等。
目前受影響到的是主要 Windows 10 以及測試中的 Windows 11,不過從 Microsoft 官方發布的訊息中,看到了 Windows Server 2019 也是受影響的標的之一。這個問題需要被特別注意的是目前尚無修補程式 (Patch) 可以進行更新,短期因應可以參考官方提出的暫行方案 (workaround),例如可以刪除該受影響的 Volume Shadow Copy 等作法。(請參考:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934 )
如以 PCI DSS 的合規角度來看這個問題,首先,這個漏洞的 CVSS 分數,在 Base Score Metrics 是 7.8 分屬於高於 7 分的高風險項目,是一個應於 30 天內進行 Patch 的項目,如沒有合適的 Patch 也應尋求其他的補強方案,如果 ASV (Approved Scanning Vendor) 外部弱點掃描遇到這個問題,應該會導致外弱掃無法通過的窘境。
除了工作人員使用的個人電腦外,在機房中也常見使用 Windows 10 作為跳板機使用,由於 Windows 的跳板機,有可能配置給不同人員權限,也要注意是否會有一般使用者利用這個漏洞進行其他未受權的動作或進行攻擊。
針對這個問題要如何保持合規呢? 安律信息為你提供以下建議:
先依據官方的暫行方案,限制特定的系統目錄存取、刪除從 Volume Shadow Copy Service (磁碟區陰影複製服務, VSS) 的複製備份。而移除陰影備份檔案所造成的影響,則為無法透過ㄧ些備份/還原工具,對系統進行還原。所以這段尚未有修補程式的這段期間,就可先避免進行還原作業。
暫時性的限制 “非主機管理權限 (Administrator)” 人員登入到主機,這個弱點的問題是在於一般使用者帳號可以存取到核心的配置檔案、SAM 資料庫等,所以暫時性限制非主機管理權限的人員,可避免提升權限的攻擊。
將內部弱點掃描工具的掃描資料庫更新到最新版本,並進行掃描,以確認目前使用的工具是否能掃描到這個問題。
Bryan Cheng 安律信息技術公司 PCI 資深合規 QSA 與 顧問 - PCI QSA and Senior Consultant
Payment Card Industry Security, IT Security Management, Cloud Service Management
專業認證:PCI DSS QSA, CISSP, ISO27001 LA, BS10012 LA, MCSE, MCITP, TUViT Privacy Protection Consultant
安律信息技術有限公司 Secure Vectors Information Technologies Inc.
安律信息技術有限公司 Secure Vectors Information Technologies Inc. , 是一家專門從事支付產業安全管理服務的公司,包含技術檢測、顧問諮詢以即合規審查服務。 我們的服務範圍包含 PCI DSS 、PCI 3DS、PCI PIN Security 等支付卡產業安全標準並提供個人資料保護及 GDPR 適法性查檢與顧問服務。 安律信息技術在美國、中國、新加坡、越南、台灣等地設有服務據點,提供完整的服務。 與合規相關的產品包含認證服務(合規審查)、合規安全代管以及合規管理平台等服務。
你可能會喜歡看
2022年4月14日
2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
https://www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg
850
1332
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2022-04-14 17:38:09 2022-04-15 10:11:05 2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎?
https://www.securevectors.com/wp-content/uploads/2022/04/表單img20220330-e1649919971244.jpg
339
351
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2022-04-14 14:52:40 2022-04-14 16:33:20 支付產業合規新挑戰-研討會簡報檔案
https://www.securevectors.com/wp-content/uploads/2021/08/h_mp06-scaled.jpg
1707
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-08-19 15:52:25 2022-04-14 15:03:34 PCI DSS V4.0 您準備好了嗎?-研討會簡報檔案
https://www.securevectors.com/wp-content/uploads/2021/08/如何準備-PCI-DSS-認證-PART-I-第一次通過-PCI-DSS-2.png
628
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-08-11 14:34:23 2022-03-10 15:15:56 如何準備PCI DSS 認證 PART I | 第一次通過 PCI DSS 本文提供您 2021 年最新 PCI DSS 認證的標準流程,…
https://www.securevectors.com/wp-content/uploads/2021/02/PCI-3DS-驗證-3-步驟-scaled.jpg
1564
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-08-02 17:49:27 2021-08-10 11:12:43 PCI DSS 認證的流程以及合規費用說明 本次的 Linux 漏洞涉及所有 Linux Kernel 的作業系統,該漏洞利用…
https://www.securevectors.com/wp-content/uploads/2021/07/Screenshot-2021-07-30-172522.jpg
345
464
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-07-30 17:26:37 2021-09-10 11:52:36 Sequoia 漏洞 (CVE-2021-33909),聽聽 PCI DSS 專家怎麼說? Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
https://www.securevectors.com/wp-content/uploads/2021/07/即刻因應-Windows-1011-提全安全漏洞-1-1.png
628
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-07-29 18:03:39 2021-08-19 16:53:12 即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞 2021年2月2日
3D 驗證 (3-D Secure)
消費者 (Consumer) 在商戶…
https://www.securevectors.com/wp-content/uploads/2021/02/PCI-3DS-驗證-3-步驟-scaled.jpg
1564
2560
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-02-02 11:58:18 2021-08-19 16:55:59 PCI 3DS 驗證 3 步驟
https://www.securevectors.com/wp-content/uploads/2018/04/rawpixel-com-568381-unsplash-拷貝.jpg
600
600
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2018-09-07 15:07:03 2021-08-03 18:22:44 PCI DSS 之 Incident Response Plan
https://www.securevectors.com/wp-content/uploads/2023/05/PCI-DSS-QSA-Vincent.jpg
630
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2023-03-19 17:57:19 2023-05-19 17:59:05 合規共管助企業完成交易安全驗證 2022年4月14日
2022年四月起,國際卡組織已陸續要求各支付機構、系統必須支持新的…
https://www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg
850
1332
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2022-04-14 17:38:09 2022-04-15 10:11:05 2022 年 4 月開始 BIN 改成前8碼,你準備好系統的調整了嗎? Microsoft 於 2021/07/23 更新了一個 CVSS 超過 7 分的高風險安全漏洞…
https://www.securevectors.com/wp-content/uploads/2021/07/即刻因應-Windows-1011-提全安全漏洞-1-1.png
628
1200
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-07-29 18:03:39 2021-08-19 16:53:12 即刻因應: Windows 10/11 (CVE-2021-36934) 提權安全漏洞 2021年7月28日
由於新冠肺炎 (COVID-19) 的衝擊導致商業模式改變,中小型商店原來接受面對面交易的,紛紛移向線上電子商務的交易,因而產生信用卡資料安全保護的需求。…
https://www.securevectors.com/wp-content/uploads/2021/07/Protect-Payment-Card-Data-1.png
1080
1920
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2021-07-28 11:23:10 2021-08-19 16:43:52 八大祕訣讓中小企業在疫情中保護信用卡資料
https://www.securevectors.com/wp-content/uploads/2018/05/table.jpg
800
900
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2018-08-29 18:44:25 2021-08-03 18:10:35 UPI 銀聯國際邀請安律信息技術参加於新加坡的UPI 3DS 2.0 Workshop 成功召開 2018年8月28日
在 PCI SSC 定義的特約商店,是「接受消費者使用 PCI SSC 五大品牌的信用卡來提供商品或服務的付款」,所以針對特約商店的合規性,就會有相對應的規範了。以下針對特約商店的等級及相關要求 (以 VISA 為例) 進行說明:
https://www.securevectors.com/wp-content/uploads/2018/05/induction.jpg
800
900
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2018-08-28 18:28:32 2021-08-03 18:23:43 誰需要通過 PCI DSS 的審查呢 ? Part 2 2018年8月22日
『 智慧型手機被盜刷!!! 』
規模較小的公司與商店都開始設計及導入…
https://www.securevectors.com/wp-content/uploads/2018/05/black.jpg
800
900
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2018-08-22 09:38:02 2021-08-03 18:25:24 智慧型手機被盜刷,mPOS的安全性? 2018年8月16日
大部分初接觸 PCI DSS 支付卡產業資料安全標準的朋友們,在閱讀標準的過程中,很大一部份的思維會落入 "這個標準只看技術實施和落實” 這樣的情境。原因無他,PCI DSS 的第一個 Requirement 就是網路基礎建設的安全管控機制 (如下圖)。
https://www.securevectors.com/wp-content/uploads/2021/07/acceptable-formats-for-truncation-of-primary-account-numbers-pci-dss-2021.jpg
850
1332
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2018-08-16 15:05:08 2021-08-03 18:26:09 支付卡營運標準的安全管理層次與精神 2018年8月13日
各種系統的漏洞未及時更新,常常是駭客利用各式工具掃描進而入侵的管道之一。一旦入侵成功,再進一步搜尋不安全的,或是破解服務安裝,
https://www.securevectors.com/wp-content/uploads/2021/07/Untitled-design.png
1080
1080
arthur.li
https://www.securevectors.com/wp-content/uploads/2018/05/menu-繁.png
arthur.li 2018-08-13 18:46:00 2021-08-03 18:27:03 SamSam 勒索軟體賺很大! 3年內成功敲詐近 600 萬美元
*如想了解更多合規服務,歡迎與我們聯繫 service@securevectors.com
我們會儘快回覆您的任何問題!