ACL-sårbarhet i Windows ger obehörig åtkomst till systemfiler

Sårbarhet Windows

Microsoft har tillkännagett en sårbarhet i Windows 10, CVE-2021-36934, som kan utnyttjas för att utöka sina lokala behörigheter (local privilege escalation, LPE) [1].Sårbarheten finns på grund av att åtkomstkontrollistorna (ACL) för flera systemfiler, inkl. SAM-databasen, är alltför generösa och tillåter åtkomst för vanliga användare. En angripare som utnyttjar sårbarheten kan exekvera godtycklig kod med systembehörigheter.

Sedan kan angriparen installera program; visa, ändra eller ta bort data; eller skapa nya konton med fullständiga användarrättigheter.

Påverkade produkter

Windows 10, versioner 1809 eller senare

Rekommendationer

Microsoft har publicerat åtgärder som beskriver hur man gör ändringar i systemet vilka motverkar att sårbarheten kan utnyttjas. Dessa innebär att i några steg dels begränsa åtkomsten till system32\config och dels radera Volume Shadow Copy Service (VSS) shadow copies [1].CERT CC har publicerat guider som beskriver hur man kontrollerar om ett system är påverkat [2].

Källor

[1] https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2021-36934

[2] https://www.kb.cert.org/vuls/id/506989