CỔNG THÔNG TIN SỞ NÔNG NGHIỆP & PHÁT TRIỂN NÔNG THÔN TỈNH AN GIANG
nông nghiệp an giang
Thông tin tổng hợp

Hướng dẫn khắc phục lỗ hổng bảo mật ảnh hưởng đến hệ điều hành Windows 10 và Windows Server

09:36 04/08/2021

Theo thông tin từ Đội Ứng cứu khẩn cấp sự cố an toàn thông tin mạng tỉnh An Giang về lỗ hổng bảo mật mới (CVE-2021-36934) ảnh hưởng đến hệ điều hành Windows 10 phiên bản 1809/1909/2004/21H1/20H2 và Windows Server 2019/20H2. Khai thác thành công lỗ hổng này cho phép đối tượng tấn công nâng cao đặc quyền trên hệ thống mục tiêu, từ đó có thể chiếm quyền điều khiển toàn bộ hệ thống.

Thông tin về lỗ hổng

Mã lỗ hổng: CVE-2021-36934

CVSS: 7.8 (cao)

Mô tả: Lỗ hổng bảo mật tồn tại do các tài khoản người dùng thường có thể truy cập vào các tệp hệ thống (như các tệp SAM, Windows Registry). Khai thác thành công lỗ hổng này, cho phép đối tượng tấn công thực thi mã tùy ý với đặc quyền cao hơn trên hệ thống mục tiêu.

Các phiên bản hệ điều hành bị ảnh hưởng

1.  Windows Server, version 20H2 (Server Core Installation)

2. Windows 10 Version 20H2 ARM64-based Systems

3. Windows 10 Version 20H2 for 32-bit System

4. Windows 10 Version 20H2 for x64-based Systems

5. Windows Server, version 2004 (Server Core Installation)

6. Windows 10 Version 2004 for x64-based Systems

7. Windows 10 Version 2004 for ARM64-based Systems

8. Windows 10 Version 2004 for 32-bit Systems

9. Windows 10 Version 21H1 for 32-bit Systems

10. Windows 10 Version 21H1 for ARM64-based Systems

11. Windows 10 Version 21H1 for x64-based Systems

12. Windows 10 Version 1909 for ARM64-based Systems

13. Windows 10 Version 1909 for x64-based Systems

14. Windows 10 Version 1909 for 32-bit Systems

15. Windows Server 2019 (Server Core installation)

16. Windows Server 2019

17. Windows 10 Version 1809 for ARM64-based Systems

18. Windows 10 Version 1809 for x64-based Systems

19. Windows 10 Version 1809 for 32-bit Systems

Hướng dẫn cách kiểm tra phiên bản Windows 10 trên Máy tính (PC) và Laptop

Hướng dẫn khắc phục

Hiện tại, Microsoft chưa có thông tin phát hành bản vá cho lỗ hổng này, thay vào đó là đưa ra biện pháp khắc phục thay thế để giảm thiểu nguy cơ tấn công. Các bước khắc phục đối với các máy tính sử dụng hệ điều hành bị ảnh hưởng như sau:

1. Bước 1: 

- Mở Command Prompt hoặc Windows PowerShell bằng quyền Admin: Trên thanh Start, tại ô tìm kiếm, nhập cmd hoặc powershel

- Phải chuốt chọn Run as administrator, chọn YES khi có bảng thông báo hiện ra.

 - Để kiểm tra máy tính có bị ảnh hưởng lỗ hổng CVE-2021-36934: Trên Command Prompt hoặc Windows PowerShell, sử dụng lệnh:

icacls C:\Windows\System32\config\sam

Nếu hiển thị BUILTIN\Users:(I)(RX), máy tính bị ảnh hưởng bởi lỗ hổng. Thực hiện tiếp các bước sau để khắc phục lỗ hổng. 

Lỗi được hiển thị trên giao diện Command Prompt

Lỗi được hiển thị trên giao diện Windows PowerShell

Nếu không hiển thị BUILTIN\Users:(I)(RX) thì máy tính không bị ảnh hưởng và không cần thực hiện các bước tiếp theo.

2. Bước 2: Sử dụng lệnh để hạn chế quyền truy cập vào thư mục %windir%\system32\config

- Trên giao diện Command Prompt, sử dụng lệnh: icacls %windir%\system32\config\*.* /inheritance:e

- Trên giao diện Windows PowerShell, lệnh: icacls $env:windir\system32\config\*.* /inheritance:e

3. Bước 3: Kiểm tra lại quyền thư mục như ở Bước 1:

+ Trên giao diện Command Prompt

+ Trên giao diện Windows PowerShell

4. Bước 4: Xóa các bản sao của Volume Shadow Copy Service, System Restore (nếu có)

Lưu ý: Việc thực hiện xóa Shadow Copy có thể ảnh hưởng đến hoạt động khôi phục, bao gồm khả năng khôi phục dữ liệu bằng các ứng dụng sao lưu của bên thứ ba.

+ Cách 1: Sử dụng lệnh trên Command Prompt

* Hiển thị tất cả các bản sao lưu Shadow Copy:

 vssadmin list shadows /for=%systemdrive%

* Xóa toàn bộ các bản sao lưu:

vssadmin delete shadows /for=%systemdrive% /Quiet

* Kiểm tra lại các bản sao lưu đã bị xóa hay chưa:

vssadmin list shadows /for=%systemdrive%

+ Cách 2: Sử dụng giao diện

* Truy cập Setting, nhập vào ô tìm kiếm System protect, chọn mục Create a restore point

* Tại tab System Protection, chọn Configure, chọn Delete tại Detele all restore points for this drive trên cửa sổ pop-up mới hiện lên

* Chọn Continue để hoàn tất việc xóa các bản sao

* Kiểm tra các bản sao lưu đã được xóa: Tại tab System Protection > Chọn System Restore

* Tạo bản sao lưu mới (nếu cần): Tại tab System Protection > Chọn Create

 

Nguồn tham khảo:

- Công văn số:835/CV-ĐƯCKCSCATTTM, ngày 29/7/2021 của Đội Ứng cứu khẩn cấp sự cố an toàn thông tin mạng tỉnh An Giang về lỗ hổng bảo mật ảnh hưởng đến hệ điều hành Windows 10 và Windows Server

- https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-36934

Quang Hiển tổng hợp