Windows Server2012 r2 datacenter 检测 CVE-2021-40449 权限提升漏洞方法KB5006729

Windows Server2012 r2 datacenter 检测 CVE-2021-40449 权限提升漏洞方法KB5006729

漏洞简述：CVE-2021-40449 是 Win32kfull.sys 中NtGdiResetDC UAF 漏洞，普通本地用户→SYSTEM 提权，2021-10-12 微软月度补丁修复（2021 年 10 月周二补丁日）。

补丁：KB5006729 KB5006742

1 Server2012（非 R2）修复补丁：KB5006732（月度汇总）、KB5006738（仅安全质量补丁，二选一安装即修复）
内核版本基准：系统内核版本＜6.2.9200.23490 = 存在漏洞；≥6.2.9200.23490 = 已修复

2 Windows Server2012 R2 Datacenter｜CVE-2021-40449 检测 + 修复（已确认系统受该漏洞影响，缺补丁即高危可本地提权到 SYSTEM）
一、2012R2 修复补丁（二选一安装即堵漏洞，2021-10-12 发布）
KB5006729：仅安全质量补丁（只修漏洞，非月度汇总）
KB5006742：2021 年 10 月月度汇总补丁（包含 CVE-2021-40449 修复 + 其他高危漏洞）
两个补丁装任意一个即可修复，都没装 = 存在漏洞

3种检测方法（管理员 CMD/PowerShell 执行）
方法 1：CMD 查询补丁（最快）
wmic qfe list brief | findstr "KB5006729 KB5006742"

有返回补丁信息：已修复无漏洞
无任何输出：存在 CVE-2021-40449 高危提权漏洞

方法 2：PowerShell 查询补丁

Get-HotFix -Id KB5006729,KB5006742 -ErrorAction SilentlyContinue
返回补丁详情 = 已修复；空白 = 漏洞存在

方法 3：Sherlock 脚本一键扫描（批量检测本地提权漏洞）

IEX(New-Object Net.WebClient).DownloadString('https://raw.githubusercontent.com/rasta-mouse/Sherlock/master/Sherlock.ps1')
Find-AllVulns

扫描结果：
CVE-2021-40449 : Vulnerable → 漏洞存在
CVE-2021-40449 : Patched → 已修复

方法 4 内核版本辅助判断（2012R2 系统版本 6.3.9600）
ver
补丁生效后系统版本 ≥ 6.3.9600.20168；低于该版本 = 未修复、漏洞存在。
目前显示：6.3.9600

漏洞风险说明:
CVE-2021-40449：Win32kfull.sys UAF 内核漏洞，任意普通本地账号→直接提权 SYSTEM，在野真实利用（MysterySnail 远控木马专项利用），等保高危漏洞。
前提：服务器开启图形 GDI 组件（2012R2 数据中心默认自带，绝大部分环境满足利用条件）

修复步骤:

微软更新目录下载 x64 补丁：Windows8.1-KB5006729-x64.msu 或 Windows8.1-KB5006742-x64.msu
双击安装，必须重启服务器
重启后再次执行上面查询命令，确认补丁已入库即修复完成。

下载：
kb5006729
https://www.catalog.update.microsoft.com/Home.aspx