Windows 권한상승취약점(CVE-2021-36934) 주의!

 

 

7월 20일, MS는 Windows의 권한 상승 취약점을 공개하였습니다. 

 

SAM(보안계정관리자) 데이터베이스를 포함한 여러 시스템 파일에 대한 지나치게 허용적인 ACL 때문에 권한 상승 취약점이 존재합니다. 

만약 공격자가 해당 취약점을 악용한다면 SYSTEM 권한으로 임의 코드를 실행할 수 있습니다. 그 후 공격자는 프로그램을 설치하거나, 데이터를 보거나 변경, 혹은 전체 사용자 권한을 가진 새 계정을 생성할 수 있습니다.

현재 해당 취약점과 관련된 POC가 이미 공개되어 악용 가능성이 상당히 높아 사용자들의 주의가 필요합니다. 

 

 

CVE 번호

 

CVE-2021-36934

 

취약한 버전

 

Windows 10버전 1809 및 이후 릴리즈 버전 

Windows 11

 

패치방법

 

MS에서 공식 패치는 공개되지 않았기 때문에 임시 조치를 진행해야 합니다. 

 

임시조치방법

%windir%\system32\config의 컨텐츠에 대한 액세스를 제한합니다.
1) 명령 프롬프트 또는 Windows PowerShell을 관리자 권한으로 실행
2) 다음 명령을 실행합니다: icacls %windir%\system32\config\*.* /inheritance:e

VSS(볼륨 섀도 복사본 서비스) 섀도 복사본 삭제
1) %windir%\system32\config에 대한 액세스를 제한하기 전에 기존에 존재했던 시스템 복원 지점 및 볼륨 새도 모두 삭제
2) 새 시스템 복원 시점 생성(원하는 경우)

* 섀도 복사본 삭제는 타사 백업 애플리케이션을 사용하여 데이터를 복원하는 기능을 포함하여 복원 작업에 영향을 미칠 수 있습니다.

 

 

 

 

참고 :
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934