Đã có giải pháp khắc phục lỗ hổng CVE-2021-36934

Theo TheWindowsClub, lỗ hổng CVE-2021-36934 vừa được phát hiện gần đây là một vấn đề quan trọng vì nó cung cấp các đặc quyền nâng cao cho kẻ xấu.

Lỗ hổng đặc quyền tăng cao tồn tại do Access Control Lists (ACLs) quá dễ dãi trên nhiều tệp hệ thống, bao gồm cả cơ sở dữ liệu Security Accounts Manager (SAM). Kẻ tấn công đã khai thác thành công lỗ hổng này có thể chạy mã tùy ý với các đặc quyền của hệ thống. Sau đó chúng có thể cài đặt các chương trình, xem, thay đổi hoặc xóa dữ liệu; hoặc tạo tài khoản mới với đầy đủ quyền của người dùng.

Để khai thác lỗ hổng, kẻ xấu phải có quyền truy cập vào hệ thống và chạy mã ngay từ đầu. Microsoft vẫn đang điều tra sự cố và nhiều dữ liệu dự kiến sẽ được thêm vào CVE. Tuy nhiên, hiện tại, người dùng có thể thử 2 phương pháp để vô hiệu hóa phần dễ bị tấn công của hệ điều hành.

Theo phiên bản chính thức, không có lỗ hổng nào bị khai thác và Microsoft đã đủ nhanh để đưa ra giải pháp thay thế. Tuy nhiên, công ty cũng đề cập việc khai thác bằng cách sử dụng lỗ hổng bảo mật có nhiều khả năng xảy ra hơn và người dùng phải tuân theo cách giải quyết càng nhanh càng tốt.

Cách kiểm tra xem máy tính của bạn có bị ảnh hưởng bởi CVE-2021-36934 hay không

Hầu hết các máy tính với ổ cài hệ điều hành có dung lượng lớn hơn 128GB nhiều khả năng sẽ chứa các bản ghi VSS. Và những máy tính có bản ghi VSS đều có khả năng bị hacker tấn công bằng lỗ hổng CVE-2021-36934. Để kiểm tra xem máy tính của mình có bị ảnh hưởng bởi CVE-2021-36934hay không bạn cần thực hiện theo các bước sau:

  • Mở Command Prompt bằng tài khoản thường, không phải Administrator
  • Chạy dòng lệnh: icacls %windir%\system32\config\sam
  • Máy bị ảnh hưởng sẽ có báo cáo BUILTIN\Users:(I)(RX) trong kết quả như sau:

  • Máy không bị ảnh hưởng sẽ có kết quả như sau

Giải pháp khắc phục tạm thời

Hiện tại, theo Microsoft người dùng có thể khắc phục tạm thời bằng giải pháp sau:

  • Hạn chế truy cập nội dung của %windir%\system32\config
    • Mở Command Prompthoặc Windows PowerShell dưới quyền Administrator
    • Chạy dòng lệnh: icacls %windir%\system32\config\*.* /inheritance:e
  • Xóa các bản ghi Volume Shadow Copy Service (VSS)
    • Mở Command Prompthoặc Windows PowerShell dưới quyền Administrator
    • Chạy lệnh: vssadmin list shadowsđể xem có điểm khôi phục hệ thống shadow nào hay không
    • Nếu có, xóa chúng bằng lệnh: vssadmin delete shadows /for=c: /Quiet
    • Chạy lại lệnh: vssadmin list shadowsđể xem chúng đã được xóa hay chưa
    • Xóa tất cả các điểm khôi phục System Restoretồn tại trước khi hạn chế truy cập vào %windir%\system32\config
    • Tạo điểm khôi phục System Restoremới (nếu cần)

Leave a Reply

Your email address will not be published.

preloader