2019年第22周微信公众号精选安全技术文章总览

洞见网安 2019-6-3

0x1 SandboxEscaper再爆0 day漏洞

信息安全最新论文技术交流 2019-06-09T14:10:31

近日，安全研究员SandboxEscaper在GitHub上公布了一个名为ByeBear的Windows 0 day漏洞，该漏洞影响了Windows 10和Server 2019系统。这个0 day漏洞实际上是对微软CVE-2019-0841补丁的绕过方法。SandboxEscaper在没有通知微软的情况下公布了这一绕过技巧，并附上了漏洞利用的Proof of Concept (PoC)。CVE-2019-0841漏洞是由于Windows AppX Deployment Service (AppXSVC)处理硬链接不当导致的，允许本地攻击者提升权限。SandboxEscaper发现了一个新的补丁绕过方法，通过滥用Microsoft Edge浏览器的漏洞，删除特定文件夹中的文件和子文件夹，然后启动Edge浏览器两次，第二次启动时会以SYSTEM权限写入DACL。SandboxEscaper表示，这个bug不仅限于Edge，还可以通过其他方式触发。微软下一次安全更新预计在6月11日，因此本次0 day漏洞可能不会被修复。不过，ByeBear的GitHub页面已经被删除。

漏洞利用 Windows安全本地权限提升 0 day漏洞安全更新 GitHub

0x2 Exim SMTP Mail Server漏洞预警

安恒信息CERT 2019-06-07T14:26:13 ©

2019年6月5日，Exim发布了安全漏洞公告，编号CVE-2019-10149，该漏洞存在于4.87至4.91版本的Exim SMTP邮件服务器中。攻击者可通过特定构造的邮件发送者信息触发漏洞，可能导致本地提权和远程命令执行。尽管Exim在2019年2月10日发布的4.92版本中修复了该漏洞，但最初并未明确其为安全漏洞。漏洞报告于5月27日由安全研究人员公开，包括部分漏洞利用细节。安恒研究院统计显示，全球及中国均有大量Exim邮件服务器部署，存在较大安全隐患。建议用户及时升级到4.92版本或更高版本，并采取安全防护措施以防止恶意攻击。

邮件服务器安全 CVE编号本地提权远程命令执行软件升级漏洞影响范围网络安全防护威胁评估

0x3 tcpdump流量分析介绍

蘑菇安全小组 2019-06-06T23:37:01 ©

本文主要介绍了网络安全中重要的流量分析技能，以tcpdump工具为例，详细阐述了其在网络分析和问题排查中的应用。文章首先介绍了tcpdump的基本功能和特点，包括其强大的截取策略和可扩展性。接着，文章详细介绍了tcpdump的参数设置和过滤条件，并通过实际案例展示了如何使用tcpdump抓取特定协议的数据包。最后，文章通过一个HTTP协议的实际分析案例，展示了如何利用tcpdump和Wireshark进行网络流量分析，并提供了相关资源的链接，以供读者进一步学习和实践。

网络安全工具网络流量分析 Linux系统抓包分析 HTTP协议分析入侵检测网络故障排查

0x4 远程桌面零日漏洞曝光，允许黑客获取Windows设备访问权限

ISEC安全e站 2019-06-05T11:36:45 ISEC安全e站

据外媒报道，安全研究人员发现发现新零日漏洞，允许黑客绕过设备锁屏，远程获取计算机的访问权限。

0x5 macOS零日漏洞曝光，允许黑客绕过系统安全功能执行恶意代码

ISEC安全e站 2019-06-04T13:46:50 ISEC安全e站

研究人员发现macOS存在零日漏洞，该漏洞允许黑客通过合成点击绕过系统的隐私和安全功能，执行未验证代码。苹果曾在2018年WWDC上引入安全功能修复相关问题，但研究人员Howard Oakley和Patrick Wardle发现macOS仍存在安全漏洞，允许恶意应用程序无需用户交互即可执行合成点击。Wardle指出macOS对应用程序的验证仅限于数字证书，无法检查加载的资源和代码，这允许通过修改受信任应用程序来绕过保护机制。Wardle已向苹果报告这一发现，但苹果尚未作出回应。

零日漏洞安全漏洞隐私泄露系统安全合成点击攻击透明度同意和控制(TCC)