漏洞原理
? ? ? ?CVE-2021-31199 是一個 Windows 用戶賬戶控制(UAC)繞過漏洞,CVSS 3.1 評分 7.8(高危)。其核心原理如下:
- UAC 機制缺陷:
Windows UAC 通過限制應用程序權限提升系統安全性,但某些系統組件(如ComputerDefaults.exe)被標記為“自動提升”的白名單程序。攻擊者利用這些程序的權限提升特性,繞過 UAC 提示。- 文件關聯劫持:
漏洞利用 Windows 對.msc文件(Microsoft 管理控制臺快照)的關聯處理缺陷。當用戶雙擊.msc文件時,系統會調用ComputerDefaults.exe(以管理員權限運行),但該程序未正確驗證文件路徑,導致攻擊者可劫持文件關聯,執行惡意代碼。- 權限提升鏈:
攻擊者通過修改注冊表或文件關聯,將惡意腳本偽裝為.msc文件,觸發ComputerDefaults.exe以管理員權限執行該腳本,最終實現權限提升。
利用方式
- 攻擊場景:
- 攻擊者通過釣魚郵件、惡意網站或 USB 驅動器傳播惡意
.msc文件或鏈接。- 用戶雙擊文件或點擊鏈接時,觸發漏洞執行惡意代碼。
- 技術細節:
- 文件關聯劫持:攻擊者修改注冊表項
HKEY_CLASSES_ROOT\MSCFile\shell\open\command,將.msc文件的默認打開程序指向惡意腳本(如powershell.exe -Command "惡意代碼")。- UAC 白名單利用:當用戶打開
.msc文件時,系統調用ComputerDefaults.exe(自動提升權限),但該程序未驗證文件路徑,直接執行攻擊者指定的惡意命令。- 權限提升:惡意腳本以管理員權限運行,攻擊者可執行創建管理員賬戶、植入后門等操作。
- 在野利用:該漏洞在 2021 年被多次在野利用,常與釣魚攻擊結合,誘導用戶執行惡意文件。
防御方法
- 及時更新補丁:微軟已于 2021 年 5 月發布安全更新(KB5003637),建議用戶立即升級到 Windows 10 版本 19042.1052(或更高版本)。
- 禁用 UAC 白名單程序:? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?通過組策略禁用
ComputerDefaults.exe的自動提升權限功能:計算機配置 > 管理模板 > Windows 組件 > 用戶賬戶控制 > 允許 UIAccess 應用程序繞過 UAC 提示,設置為“已禁用”。- 限制文件關聯權限:保護注冊表項
HKEY_CLASSES_ROOT\MSCFile\shell\open\command的權限,僅允許管理員修改。- 安全工具防護:
- 使用防病毒軟件和 EDR 工具檢測惡意
.msc文件及異常進程。- 部署郵件網關過濾包含可執行內容的附件。
- 用戶教育:避免打開來源不明的
.msc文件或鏈接,尤其是通過郵件或即時通訊工具接收的文件。
總結
? ? ? ?CVE-2021-31199 是一個典型的 UAC 繞過漏洞,通過劫持文件關聯和利用白名單程序實現權限提升。防御的核心是及時更新系統、限制文件關聯權限,并結合安全工具和用戶意識提升綜合防護。
?結語?????
生活自由分寸
熱愛漫無邊際
!!!
)
)
:架構設計與核心概念)
)
