Как защитить / исправить новую уязвимость CVE-2021-36934?
Суть этой уязвимости заключается в том, что если вы выполняете теневое копирование важных файлов с хешированными паролями для всех учетных записей ОС, данными ключа шифрования и другой важной информацией (файлы, хранящиеся в SAM , БЕЗОПАСНОСТЬ и СИСТЕМА) - вы сможете читать их немедленно со стандартными правами пользователя.
Тогда как в стандартной ситуации после выполнения теневого копирования вы не можете прочитать указанные файлы с правами пользователя. другими словами, вы сможете повысить привилегии после получения желаемого хэша пароля.
Есть ли способы исправить это, не устанавливая последние обновления Windows?
Мы используем обходной путь
Создание файла .bat
icacls %windir%\system32\config\*.* /inheritance:e
vssadmin delete shadows /all /quiet
Создание файла с именем Windows_10_all.mof
instance of MSFT_SomFilter
{
Author = "Administrator@domain";
ChangeDate = "20210722135205.787000-000";
CreationDate = "20210722134746.125000-000";
Description = "Windows 10 Clients only";
Domain = "domain";
ID = "{677E2CEF-BCFC-46A5-B4D6-61C9A70250E8}";
Name = "Windows 10 Only";
Rules = {
instance of MSFT_Rule
{
Query = "Select * from Win32_OperatingSystem where Version like \"10.%\" and ProductType=\"1\"";
QueryLanguage = "WQL";
TargetNameSpace = "root\\CIMv2";
}};
};
Создание объекта групповой политики для сценария запуска
Копировать Вышеупомянутый пакет в созданный каталог.
Используйте фильтр MWI
Перейти к фильтру WMI, щелкните правой кнопкой мыши, импортируйте файл сверху
или делайте это лениво, создав его вручную
"Select * from Win32_OperatingSystem where Version like \"10.%\" and ProductType=\"1\"";
После этого выберите объект групповой политики слева, а затем выберите справа ниже вашего фильтра WMI.
Выводы
Это просто обходной путь, который Microsoft рекомендует делать, большинство веб-сайтов только объясняют, чтобы исправить файл, а не права доступа к папке.