漏洞原理
CVE-2021-31199 是一个 Windows 用户账户控制(UAC)绕过漏洞,CVSS 3.1 评分 7.8(高危)。其核心原理如下:
- UAC 机制缺陷 :
Windows UAC 通过限制应用程序权限提升系统安全性,但某些系统组件(如ComputerDefaults.exe)被标记为"自动提升"的白名单程序。攻击者利用这些程序的权限提升特性,绕过 UAC 提示。- 文件关联劫持 :
漏洞利用 Windows 对.msc文件(Microsoft 管理控制台快照)的关联处理缺陷。当用户双击.msc文件时,系统会调用ComputerDefaults.exe(以管理员权限运行),但该程序未正确验证文件路径,导致攻击者可劫持文件关联,执行恶意代码。- 权限提升链 :
攻击者通过修改注册表或文件关联,将恶意脚本伪装为.msc文件,触发ComputerDefaults.exe以管理员权限执行该脚本,最终实现权限提升。
利用方式
- 攻击场景 :
- 攻击者通过钓鱼邮件、恶意网站或 USB 驱动器传播恶意
.msc文件或链接。- 用户双击文件或点击链接时,触发漏洞执行恶意代码。
- 技术细节 :
- 文件关联劫持 :攻击者修改注册表项
HKEY_CLASSES_ROOT\MSCFile\shell\open\command,将.msc文件的默认打开程序指向恶意脚本(如powershell.exe -Command "恶意代码")。- UAC 白名单利用 :当用户打开
.msc文件时,系统调用ComputerDefaults.exe(自动提升权限),但该程序未验证文件路径,直接执行攻击者指定的恶意命令。- 权限提升:恶意脚本以管理员权限运行,攻击者可执行创建管理员账户、植入后门等操作。
- 在野利用:该漏洞在 2021 年被多次在野利用,常与钓鱼攻击结合,诱导用户执行恶意文件。
防御方法
- 及时更新补丁 :微软已于 2021 年 5 月发布安全更新(KB5003637),建议用户立即升级到 Windows 10 版本 19042.1052(或更高版本)。
- 禁用 UAC 白名单程序 : 通过组策略禁用
ComputerDefaults.exe的自动提升权限功能:计算机配置 > 管理模板 > Windows 组件 > 用户账户控制 > 允许 UIAccess 应用程序绕过 UAC 提示,设置为"已禁用"。- 限制文件关联权限 :保护注册表项
HKEY_CLASSES_ROOT\MSCFile\shell\open\command的权限,仅允许管理员修改。- 安全工具防护 :
- 使用防病毒软件和 EDR 工具检测恶意
.msc文件及异常进程。- 部署邮件网关过滤包含可执行内容的附件。
- 用户教育 :避免打开来源不明的
.msc文件或链接,尤其是通过邮件或即时通讯工具接收的文件。
总结
CVE-2021-31199 是一个典型的 UAC 绕过漏洞,通过劫持文件关联和利用白名单程序实现权限提升。防御的核心是及时更新系统、限制文件关联权限,并结合安全工具和用户意识提升综合防护。
结语
生活自由分寸
热爱漫无边际
!!!
