查看原文
其他

【已复现】Windows Backup Service 权限提升漏洞(CVE-2023-21752)安全风险通告

QAX CERT 奇安信 CERT 2023-01-22

奇安信CERT

致力于第一时间为企业级用户提供安全风险通告有效解决方案。




安全通告



Windows Backup Service 提供Windows 设备上的备份和还原功能。近日,奇安信CERT监测到 Windows Backup Service权限提升漏洞(CVE-2023-21752) PoC 及 EXP 已在互联网公开,经过身份认证的攻击者可利用此漏洞提升至 SYSTEM 权限。奇安信CERT已第一时间复现此漏洞。鉴于此漏洞影响较大,且 PoC 及 EXP 已公开,漏洞的现实威胁进一步提升,建议客户尽快做好自查,及时更新至最新版本。

漏洞名称

Windows Backup Service权限提升漏洞(CVE-2023-21752)

公开时间

2023-01-10

更新时间

2023-01-12

CVE编号

CVE-2023-21752

其他编号

QVD-2023-1873

威胁类型

权限提升

技术类型

条件竞争

厂商

Microsoft

产品

Windows

风险等级

奇安信CERT风险评级

风险等级

高危

蓝色(一般事件)

现时威胁状态

POC状态

EXP状态

在野利用状态

技术细节状态

已公开

已公开

未知

未发现

漏洞描述

Windows 备份服务存在权限提升漏洞,经过身份认证的攻击者可利用此漏洞提升至 SYSTEM 权限。成功利用此漏洞需要攻击者赢得竞争条件。

影响版本

Windows 7 for 32-bit Systems Service Pack 1

Windows 10 for 32-bit Systems

Windows 10 Version 1607 for x64-based Systems

Windows 10 for x64-based Systems

Windows 7 for x64-based Systems Service Pack 1

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for 32-bit Systems

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows 11 Version 22H2 for x64-based Systems

Windows 10 Version 21H2 for x64-based Systems

Windows 10 Version 22H2 for x64-based Systems

Windows 10 Version 21H2 for 32-bit Systems

Windows 11 version 21H2 for ARM64-based Systems

Windows 11 version 21H2 for x64-based Systems

Windows 10 Version 21H2 for ARM64-based Systems

Windows 10 Version 22H2 for 32-bit Systems

Windows 11 Version 22H2 for ARM64-based Systems

Windows 10 Version 22H2 for ARM64-based Systems

其他受影响组件

奇安信 CERT 已成功复现 Windows Backup Service权限提升漏洞(CVE-2023-21752),复现截图如下: 



威胁评估

漏洞名称

Windows Backup Service权限提升漏洞

CVE编号

CVE-2023-21752

其他编号

QVD-2023-1873

CVSS 3.1评级

高危

CVSS 3.1分数

7.8

CVSS向量

访问途径(AV

攻击复杂度(AC

本地

所需权限(PR

用户交互(UI

不需要

影响范围(S

机密性影响(C

不改变

完整性影响(I

可用性影响(A

危害描述

Windows 备份服务存在权限提升漏洞,经过身份认证的攻击者可利用此漏洞将自身权限提升至 SYSTEM 权限,完全控制目标系统。



处置建议

使用奇安信天擎的客户可以通过奇安信天擎控制台一键更新修补相关漏洞,也可以通过奇安信天擎客户端一键更新修补相关漏洞。


也可以采用以下官方解决方案来防护此漏洞:

Windows自动更新

Windows系统默认启用 Microsoft Update,当检测到可用更新时,将会自动下载更新并在下一次启动时安装。还可通过以下步骤快速安装更新:

1、点击“开始菜单”或按Windows快捷键,点击进入“设置”
2、选择“更新和安全”,进入“Windows更新”(Windows 8、Windows 8.1、Windows Server 2012以及Windows Server 2012 R2可通过控制面板进入“Windows更新”,步骤为“控制面板”-> “系统和安全”->“Windows更新”)
3、选择“检查更新”,等待系统将自动检查并下载可用更新
4、重启计算机,安装更新

系统重新启动后,可通过进入“Windows更新”->“查看更新历史记录”查看是否成功安装了更新。对于没有成功安装的更新,可点击该更新名称进入微软官方更新描述链接,点击最新的SSU名称并在新链接中点击“Microsoft 更新目录”,然后在新链接中选择适用于目标系统的补丁进行下载并安装。


手动安装补丁

另外,对于不能自动更新的系统版本(如Windows 7),可参考以下链接下载适用于该系统的安全更新:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21752



产品解决方案

奇安信天擎终端安全管理系统解决方案

奇安信天擎终端安全管理系统并且有漏洞修复相关模块的用户,可以将补丁库版本更新到:2023.01.11.1及以上版本,对内网终端进行补丁更新。

推荐采用自动化运维方案,如果控制中心可以连接互联网的用户场景,建议设置为自动从奇安信云端更新补丁库至2023.01.11.1版本。

控制中心补丁库更新方式:每天04:00-06:00自动升级,升级源为从互联网升级。

纯隔离网内控制中心不能访问互联网,不能下载补丁库和补丁文件,需使用离线升级工具定期导入补丁库和文件到控制中心。


参考资料

[1]https://msrc.microsoft.com/update-guide/vulnerability/CVE-2023-21752


时间线

2023年1月12日,奇安信 CERT发布安全风险通告。


点击阅读原文

到奇安信NOX-安全监测平台查询更多漏洞详情

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存