McAfee 2021 年 7 月 CVE-2021-36934"HiveNightmare/SeriousSAM"漏洞的覆盖范围

技术文章 ID: KB94710
上次修改时间: 2021/09/20

McAfee Endpoint Security (ENS) 威胁防护 10.x

本文的最新更新

McAfee 了解"HiveNightmare/SeriousSAM"漏洞、CVE-2021-36934，正在调查产品对策。进一步学习后，文章将会进行更新。

要在本文更新时收到电子邮件通知，请单击页面右侧的订购。您必须登录后才能订购。

要阻止漏洞被利用，您可以实施以下 ENS 用户定义的专家规则。

规则名称	阻止 CVE-2021-36934： 'HiveNightmare/SeriousSam'
严重性	高
行动	阻止报告
规则类型	文件
规则内容	Rule { Process { Include AggregateMatch -xtype "ex1" { Exclude VTP_PRIVILEGES -type BITMASK { -v 0x8 } } Include AggregateMatch -xtype "ex2" { Exclude GROUP_SID { -v "S-1-16-16384" } Exclude GROUP_SID { -v "S-1-16-12288" } } Include AggregateMatch -xtype "ex3" { Exclude OBJECT_NAME { -v "vssadmin.exe" } } } Target { Match FILE { Include OBJECT_NAME { -v "\\windows\\system32\\config\\SAM" } Include OBJECT_NAME { -v "\\windows\\system32\\config\\SYSTEM" } Include OBJECT_NAME { -v "\\windows\\system32\\config\\SOFTWARE" } Include OBJECT_NAME { -v "\\windows\\system32\\config\\SECURITY" } Include -access "READ" } } }

Microsoft安全响应中心建议限制对%windir%\system32\config\并删除在限制访问之前创建的任何卷影复制服务（VSS）卷影副本。有关详细信息，请参阅：Microsoft CVE-2021-36934 更新手册.

本文内容源于英文。如果英文内容与其翻译内容之间存在差异，应始终以英文内容为准。本文部分内容是使用 Microsoft 的机器翻译技术进行翻译的。

Endpoint Security Threat Prevention 10.7.x
Endpoint Security Threat Prevention 10.6.x
Vulnerability Response

此文章有以下语言版本：

Knowledge Center