漏洞原理

       CVE-2021-31199 是一个 Windows 用户账户控制（UAC）绕过漏洞，CVSS 3.1 评分 7.8（高危）。其核心原理如下：

1. UAC 机制缺陷：
   Windows UAC 通过限制应用程序权限提升系统安全性，但某些系统组件（如 ComputerDefaults.exe）被标记为“自动提升”的白名单程序。攻击者利用这些程序的权限提升特性，绕过 UAC 提示。
2. 文件关联劫持：
   漏洞利用 Windows 对 .msc 文件（Microsoft 管理控制台快照）的关联处理缺陷。当用户双击 .msc 文件时，系统会调用 ComputerDefaults.exe（以管理员权限运行），但该程序未正确验证文件路径，导致攻击者可劫持文件关联，执行恶意代码。
3. 权限提升链：
   攻击者通过修改注册表或文件关联，将恶意脚本伪装为 .msc 文件，触发 ComputerDefaults.exe 以管理员权限执行该脚本，最终实现权限提升。

利用方式

1. 攻击场景：
   • 攻击者通过钓鱼邮件、恶意网站或 USB 驱动器传播恶意 .msc 文件或链接。
   • 用户双击文件或点击链接时，触发漏洞执行恶意代码。
2. 技术细节：
   • 文件关联劫持：攻击者修改注册表项 HKEY_CLASSES_ROOT\MSCFile\shell\open\command，将 .msc 文件的默认打开程序指向恶意脚本（如 powershell.exe -Command "恶意代码"）。
   • UAC 白名单利用：当用户打开 .msc 文件时，系统调用 ComputerDefaults.exe（自动提升权限），但该程序未验证文件路径，直接执行攻击者指定的恶意命令。
   • 权限提升：恶意脚本以管理员权限运行，攻击者可执行创建管理员账户、植入后门等操作。
3. 在野利用：该漏洞在 2021 年被多次在野利用，常与钓鱼攻击结合，诱导用户执行恶意文件。

防御方法

1. 及时更新补丁：微软已于 2021 年 5 月发布安全更新（KB5003637），建议用户立即升级到 Windows 10 版本 19042.1052（或更高版本）。
2. 禁用 UAC 白名单程序：                                                                                                         通过组策略禁用 ComputerDefaults.exe 的自动提升权限功能：计算机配置 > 管理模板 > Windows 组件 > 用户账户控制 > 允许 UIAccess 应用程序绕过 UAC 提示，设置为“已禁用”。
3. 限制文件关联权限：保护注册表项 HKEY_CLASSES_ROOT\MSCFile\shell\open\command 的权限，仅允许管理员修改。
4. 安全工具防护：
   • 使用防病毒软件和 EDR 工具检测恶意 .msc 文件及异常进程。
   • 部署邮件网关过滤包含可执行内容的附件。
5. 用户教育：避免打开来源不明的 .msc 文件或链接，尤其是通过邮件或即时通讯工具接收的文件。

总结

       CVE-2021-31199 是一个典型的 UAC 绕过漏洞，通过劫持文件关联和利用白名单程序实现权限提升。防御的核心是及时更新系统、限制文件关联权限，并结合安全工具和用户意识提升综合防护。

 结语     

生活自由分寸

热爱漫无边际

！！！