Windows Server2012 r2 datacenter 檢測(cè) CVE-2021-40449 權(quán)限提升漏洞方法KB5006729

漏洞簡述：CVE-2021-40449 是 Win32kfull.sys 中NtGdiResetDC UAF 漏洞，普通本地用戶→SYSTEM 提權(quán)，2021-10-12 微軟月度補(bǔ)丁修復(fù)（2021 年 10 月周二補(bǔ)丁日）。

補(bǔ)�。篕B5006729 KB5006742

1 Server2012（非 R2）修復(fù)補(bǔ)�。篕B5006732（月度匯總）、KB5006738（僅安全質(zhì)量補(bǔ)丁，二選一安裝即修復(fù)）
內(nèi)核版本基準(zhǔn)：系統(tǒng)內(nèi)核版本＜6.2.9200.23490 = 存在漏洞；≥6.2.9200.23490 = 已修復(fù)

2 Windows Server2012 R2 Datacenter｜CVE-2021-40449 檢測(cè) + 修復(fù)（已確認(rèn)系統(tǒng)受該漏洞影響，缺補(bǔ)丁即高�？杀镜靥釞�(quán)到 SYSTEM）
一、2012R2 修復(fù)補(bǔ)�。ǘ�選一安裝即堵漏洞，2021-10-12 發(fā)布）
KB5006729：僅安全質(zhì)量補(bǔ)�。ㄖ恍蘼┒矗�非月度匯總）
KB5006742：2021 年 10 月月度匯總補(bǔ)�。ò�含 CVE-2021-40449 修復(fù) + 其他高危漏洞）
兩個(gè)補(bǔ)丁裝任意一個(gè)即可修復(fù)，都沒裝 = 存在漏洞

3種檢測(cè)方法（管理員 CMD/PowerShell 執(zhí)行）
方法 1：CMD 查詢補(bǔ)�。ㄗ羁欤�
wmic qfe list brief | findstr "KB5006729 KB5006742"

有返回補(bǔ)丁信息：已修復(fù)無漏洞
無任何輸出：存在 CVE-2021-40449 高危提權(quán)漏洞

方法 2：PowerShell 查詢補(bǔ)丁

Get-HotFix -Id KB5006729,KB5006742 -ErrorAction SilentlyContinue
返回補(bǔ)丁詳情 = 已修復(fù)；空白 = 漏洞存在

方法 3：Sherlock 腳本一鍵掃描（批量檢測(cè)本地提權(quán)漏洞）

IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/rasta-mouse/Sherlock/master/Sherlock.ps1')
Find-AllVulns

掃描結(jié)果：
CVE-2021-40449 : Vulnerable → 漏洞存在
CVE-2021-40449 : Patched → 已修復(fù)

方法 4 內(nèi)核版本輔助判斷（2012R2 系統(tǒng)版本 6.3.9600）
ver
補(bǔ)丁生效后系統(tǒng)版本 ≥ 6.3.9600.20168；低于該版本 = 未修復(fù)、漏洞存在。
目前顯示：6.3.9600

漏洞風(fēng)險(xiǎn)說明:
CVE-2021-40449：Win32kfull.sys UAF 內(nèi)核漏洞，任意普通本地賬號(hào)→直接提權(quán) SYSTEM，在野真實(shí)利用（MysterySnail 遠(yuǎn)控木馬專項(xiàng)利用），等保高危漏洞。
前提：服務(wù)器開啟圖形 GDI 組件（2012R2 數(shù)據(jù)中心默認(rèn)自帶，絕大部分環(huán)境滿足利用條件）

修復(fù)步驟:

微軟更新目錄下載 x64 補(bǔ)�。篧indows8.1-KB5006729-x64.msu 或 Windows8.1-KB5006742-x64.msu
雙擊安裝，必須重啟服務(wù)器
重啟后再次執(zhí)行上面查詢命令，確認(rèn)補(bǔ)丁已入庫即修復(fù)完成。

下載：
kb5006729
https://www.catalog.update.microsoft.com/Home.aspx