CVE-2021-36934

Microsoft Windows

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-02-10

Официальное описание

If a Volume Shadow Copy (VSS) shadow copy of the system drive is available, users can read the SAM file which would allow any user to escalate privileges to SYSTEM level.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость, известная как "SeriousSAM", позволяет любому пользователю, имеющему доступ к системе (включая непривилегированных), прочитать файлы SAM, SYSTEM и SECURITY из теневой копии тома (VSS), созданной по умолчанию. Это возможно из-за слишком слабых разрешений (BUILTIN\Users:(I)(RX)) на каталоге %windir%\system32\config\sam.OLD и других файлах, создаваемых при формировании теневой копии.

Как это используют: 1. Злоумышленник с локальным доступом (например, через учетную запись пользователя или RDP) запускает утилиту командной строки. 2. С помощью команд (например, icacls или robocopy) он копирует защищенные файлы (SAM, SYSTEM) из теневой копии в доступное место. 3. Используя инструменты вроде secretsdump.py (из Impacket) или Mimikatz, извлекает хэши паролей локальных учетных записей, включая встроенную учетную запись Администратора. 4. Применяет атаку "Pass-the-Hash" для получения прав уровня SYSTEM или доступа к другим системам в домене.

Как исправить

Установите официальное обновление безопасности от Microsoft.

  • Для Windows 10 (версии 2004, 20H2, 21H1): Установите накопительное обновление от 10 августа 2021 г. или новее. Конкретный номер KB5005033 (для OS Build 19041.1165, 19042.1165, 19043.1165).
  • Для Windows 11: Уязвимость не затрагивает данную ОС.
  • Для Windows Server 2008-2019: Установите соответствующие накопительные обновления за август 2021 г. (например, для Windows Server 2019 - KB5005043).

Порядок действий: 1. Откройте Панель управления -> Центр обновления Windows. 2. Нажмите "Проверка наличия обновлений". 3. Установите все предлагаемые важные обновления, особенно за август 2021 года. 4. Перезагрузите систему.

Проверка установки патча (в PowerShell):

Get-HotFix | Where-Object {$_.HotFixID -match "KB5005033|KB5005043"}

(Замените KB5005033 на актуальный номер вашего KB). Если команда вернет запись — патч установлен.

Временное решение

Если немедленная установка обновлений невозможна, выполните следующие шаги для удаления уязвимых теневых копий и ограничения их создания.

1. Удалите существующие теневые копии тома C: (системного диска): Откройте командную строку с правами Администратора и выполните:

vssadmin delete shadows /for=c: /quiet

Важно: Это удалит все точки восстановления системы, созданные службой "Теневое копирование тома". Резервные копии, созданные другими средствами, затронуты не будут.

2. Ограничьте создание теневых копий с разрешениями по умолчанию: Создайте и примените следующий REG-файл или настройте реестр вручную.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore]
"FilesNotToSnapshot"=hex(7):5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,\
  00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,00,6f,00,6e,00,\
  66,00,69,00,67,00,5c,00,53,00,41,00,4d,00,00,00,5c,00,57,00,49,00,4e,00,44,\
  00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,\
  5c,00,63,00,6f,00,6e,00,66,00,69,00,67,00,5c,00,53,00,59,00,53,00,54,00,45,\
  00,4d,00,00,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,73,00,\
  79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,63,00,6f,00,6e,00,66,00,69,\
  00,67,00,5c,00,53,00,45,00,43,00,55,00,52,00,49,00,54,00,59,00,00,00,00,00

Сохраните текст в файл с расширением .reg (например, disable_sam_vss.reg) и запустите его от имени администратора. Это добавит файлы SAM, SYSTEM, SECURITY в список исключений для теневого копирования.

3. Ужесточите разрешения на каталог C:\Windows\System32\config (крайняя мера):

icacls %windir%\system32\config\*.* /inheritance:r /grant:r "SYSTEM:(F)" /grant:r "BUILTIN\Administrators:(F)"

Внимание: Это критичное изменение. Убедитесь, что у служб и приложений, которым нужен доступ к этому каталогу (например, антивирусу), есть соответствующие права (например, NT SERVICE\TrustedInstaller). Неправильная настройка может привести к неработоспособности системы. Рекомендуется сначала протестировать в изолированной среде.

Примечание: Временные решения носят ограничительный характер. Основным и окончательным методом устранения уязвимости является установка патча от Microsoft.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей