2020年 第45周 微信公众号精选安全技术文章总览
洞见网安 2020-11-9
0x1 CVE-2020-12321:英特尔无线蓝牙产品特权升级漏洞通告
水网火安 2020-11-15T18:14:48
2020年11月11日,英特尔官方发布了关于Wireless Bluetooth权限提升的公告,该漏洞编号为CVE-2020-12321,具有9.6分的高严重性评分。该漏洞存在于21.110之前的某些英特尔无线蓝牙产品中,由于缓冲区限制设置不当,使得未经身份验证的攻击者可以通过邻近访问实现提权。攻击者能够通过构造特殊数据包,与受漏洞影响的主机进行邻近通信,发送数据包至存在漏洞的主机,进而完成特权升级。受影响的英特尔无线蓝牙产品包括Wi-Fi 6 AX201、Wi-Fi 6 AX200、Wireless-AC 9560、Wireless-AC 9462、Wireless-AC 9461、Wireless-AC 9260、Dual Band Wireless-AC8265、Dual Band Wireless-AC8260、Dual Band Wireless-AC3168、Wireless 7265 (Rev D) Family以及Dual Band Wireless-AC3165等多种型号。
CVE编号 英特尔漏洞 权限提升 无线安全 缓冲区溢出 邻近攻击 漏洞通告 产品安全
0x2 xHunt 黑客组织利用两个后门攻击了 Microsoft Exchange
水网火安 2020-11-15T18:14:48
Palo Alto Networks的安全专家在调查一起针对Microsoft Exchange服务器的网络攻击事件时,发现了两个新的PowerShell后门,分别命名为“TriFive”和“Snugy”。这两个后门被用于攻击Kuwait的Exchange服务器,攻击者被归因于xHunt黑客组织。TriFive后门通过电子邮件服务Exchange Web Services(EWS)在Deleted Items文件夹中创建草稿,而Snugy后门则使用DNS通道在服务器上执行命令。攻击者利用合法的电子邮件帐户名和凭据来部署后门,并通过加密和base64编码的命令进行通信。研究人员已共享危害指标(IoC),以便管理员检查其环境是否受到威胁。
网络攻击 后门攻击 PowerShell后门 命令和控制(C2) 电子邮件攻击 DNS通道 数据窃取 网络安全事件 漏洞利用 威胁情报
0x3 NTP协议安全分析
信息安全与通信保密杂志社 2020-11-14T13:22:48 © Cismag
本文对NTP(网络时间协议)协议进行了深入的安全分析。NTP是一种广泛应用于国防、通信、金融、电力等领域的网络时间同步工具。文章首先介绍了NTP协议的基本原理和通信过程,随后分析了NTP协议在缓冲区溢出、时间同步系统、消息摘要和自动分发等加密认证过程、客户端服务器间的安全认证机制等方面存在的安全漏洞。通过实验验证,发现NTP协议的漏洞可能导致时延变长、客户端同步于伪造服务的虚假时间或无法与合法服务器同步等问题。最后,文章提出了针对NTP安全性的建议,包括限制查询时间的来源机器、周期性升级NTP软件、使用IPSEC加密时间同步过程以及比对硬件时间和同步时间等,以提高NTP协议的安全性。
协议安全 时间同步 网络安全漏洞 加密认证 网络攻击 安全建议 网络安全实验
0x4 悟空云课堂 | 第二十三期:对XML外部实体引用的不当限制
中科天齐软件安全中心 2020-11-13T18:00:00 © 悟空同学
本文介绍了悟空云课堂第二十三期的主题内容,即对XML外部实体引用的不当限制。文章首先解释了XML外部实体引用的概念,以及它如何通过URI解析超出预期控制范围的文档,从而可能导致安全漏洞。接着,文章列举了构成此类安全漏洞的条件,如通过特定URI读取本地文件内容或发出传出请求。文章进一步讨论了这种不当限制可能带来的后果,包括访问系统文件、执行HTTP请求、暴露文件内容等。最后,文章提供了防范和修补这类漏洞的方法,如配置XML解析器禁用外部实体扩展,并提供了相关漏洞的样例和CWE编号,以供读者参考。
XML安全 外部实体引用 软件安全漏洞 安全漏洞防范 安全编码实践 网络安全
0x5 端口渗透总结
必火安全 2020-11-12T19:33:00 必火男神
本文详细介绍了网络安全领域中端口渗透的相关知识。文章首先概述了端口渗透过程中需要关注的几个关键问题,包括端口banner信息、运行的服务以及常见应用的默认端口。接着,文章讨论了不同服务的端口渗透技术,包括FTP、Samba、LDAP、SSH、Telnet、Windows远程连接、VNC、Pcanywhere、HTTP服务(如IIS、Apache、Tomcat、Nginx等)、WebLogic、Jboss、Websphere、GlassFish、Jenkins、Resin、Jetty、Lotus、MySQL、MSSQL、Oracle、PostgreSQL、MongoDB、Redis、SysBase、DB2等。对于每种服务,文章都介绍了其默认端口、常见的攻击方式(如爆破、弱口令、未授权访问、远程代码执行等)以及一些典型案例。此外,文章还涉及了SMTP、POP3、IMAP、DNS、DHCP、SNMP、Hadoop、Zookeeper、Zabbix、Elasticsearch、Memcache、R服务、RMI、Rsync、Socket代理等服务的端口渗透技术。最后,文章总结了端口渗透的一些常见技巧和注意事项。
端口扫描与服务识别 漏洞利用 弱口令爆破 配置不当 社会工程学
0x6 Fastjson反序序列化漏洞分析(上) | 13期
道格安全 2020-11-12T10:35:29 p1g3
标签:Fastjson,反序列化,序列化
0x7 【CentOS7操作系统安全加固系列】第(6)篇
WalkingCloud 2020-11-12T00:23:43 ©
本文详细介绍了SSH(Secure Shell)协议及其在网络安全中的应用。文章首先概述了SSH作为远程登录和网络安全保障协议的重要性,并强调了OpenSSH作为SSH协议的免费开源实现。接着,文章深入探讨了如何加固SSH服务,包括一系列配置参数的修改建议,如设置LoginGraceTime为60秒或更短,将LogLevel设置为INFO或VERBOSE以增强日志记录,禁用X11转发,启用IgnoreRhosts以防止基于.rhosts的认证,关闭HostbasedAuthentication和PermitEmptyPasswords以增强安全性。此外,文章还提供了SSH服务的其他安全加固建议,如仅侦听指定IP地址、限制SFTP用户访问以及使用SSH远程执行命令时的安全实践。最后,文章提到了如何在SSH配置文件中进行相应的修改,并提供了重启SSH服务的命令示例。
网络安全协议 加密技术 认证机制 安全配置 日志记录 防御策略 系统加固 远程访问 漏洞防御
0x8 Cobalt Strike之内网端口转发一
ListSec 2020-11-11T20:00:00 © 凉城
本文介绍了在域内网横向实验中使用Cobalt Strike进行端口转发的详细过程。作者控制了一台域内服务器后,通过设置Cobalt Strike的socks4a代理和Beacon shell,将其转发到msf中,实现对另一台无法直接访问互联网的内网服务器的控制。实验环境包括windows2012和windows 2008服务器,以及一个VPS作为Cobalt Strike团队服务器。通过HTTP代理和端口转发,实现了内网服务器10.10.10.145的shell反弹回CS服务器。文中详细描述了listener设置、payload生成、HTTP代理设置、端口转发配置以及内网代理监听器的设置等步骤,并指出了实验中的注意事项和潜在的问题。
内网渗透 Cobalt Strike 端口转发 代理服务器 MSF(Metasploit Framework) 网络拓扑 PowerShell payload
0x9 【漏洞分析】关于mysql-connector-java连接时的反序列化
安博通 2020-11-11T16:53:11 © 安博通
0xa 企业中勒索病毒后怎样应急处理?
企业网络信息安全 2020-11-11T09:25:46 © hst
勒索病毒,是一种新型电脑病毒,主要以邮件、程序木马、网页挂马的形式进行传播。特点:\x0a1、性质恶劣、危害极大,一旦感染将给用户带来无法估量的损失。\x0a2、病毒利用各种加密算法对文件进行加密,被感染者一般无法解密.....
0xb 微软Windows NetLogon远程特权提升漏洞 (CVE-2020-1472) 通告 2、原文链接
水网火安 2020-11-11T08:46:30
近期,安全研究组织secura公开了针对Windows域用户提权漏洞的研究报告及漏洞验证工具,该漏洞被评级为最高10分,威胁严重。漏洞影响几乎所有版本的Windows Server,尤其是那些未及时更新安全补丁的服务器。NetLogon组件的特权提升漏洞允许攻击者在网络设备上执行特殊应用程序。微软已发布补丁更新,建议用户更新域控制器,监视事件日志,处理不兼容设备,并启用强制模式以解决CVE-2020-1472漏洞。
Windows漏洞 远程攻击 特权提升 域控制器安全 系统更新 网络安全防护
0xc Solaris关键缓冲区溢出漏洞导致远程接管(CVE-2020-14871)
水网火安 2020-11-11T08:46:30
本文详细介绍了Solaris操作系统中的一个关键缓冲区溢出漏洞(CVE-2020-14871),该漏洞存在于可插入身份验证模块(PAM)库中,可能导致远程攻击者通过SSH服务器接管系统。该漏洞允许攻击者在用户名长度超过512字节时利用parse_user_name函数,尤其是在SSH服务器中,由于用户名长度限制通常不适用,这使得漏洞更容易被利用。Oracle已发布针对Solaris 10和11的补丁,但对于不再支持的Solaris 9系统,建议通过编辑sshd_config文件来禁用相关功能作为临时解决方案,直至系统升级或补丁应用。
操作系统漏洞 身份验证漏洞 缓冲区溢出 远程攻击 CVE编号 补丁管理 SSH安全
0xd CVE-2020-14882\\CVE-2020-14883漏洞配合造成rce漏洞
水网火安 2020-11-11T08:46:30
近期互联网上出现两个高危漏洞CVE-2020-14882和CVE-2020-14883,这两个漏洞存在于WebLogic Server的控制台中,且通过HTTP协议进行利用。未经身份验证的远程攻击者可能通过构造特殊的HTTP GET请求,利用这些漏洞在受攻击的WebLogic Server上执行任意代码。这两个漏洞的组合利用允许远程且有权授权的攻击者在服务端执行任意代码,获取系统权限。漏洞的触发因素包括对静态资源的身份认证跳过、URL的二次编码问题以及WebLogic后管的代码执行功能。通过路径跳跃技术,攻击者可以绕过后管的登录限制。在进行代码审计时,应关注URL解码函数和代码流程,以防范此类漏洞的攻击。
WebLogic漏洞 远程代码执行(RCE) HTTP请求利用 URL编码问题 身份验证绕过 代码审计 漏洞组合利用
0xe Msf生成Shell目标上线后自动化迁移指定进程
Linux网络安全 2020-11-11T07:59:00
本文介绍了如何使用Metasploit框架中的Meterpreter进行目标进程的迁移。首先,在Meterpreter会话中,通过执行ps命令获取目标机上正在运行的进程列表,并记录目标进程的进程ID。接着,使用getpid命令查看当前Meterpreter shell的进程号,并通过migrate命令将Meterpreter shell的进程ID迁移到目标进程ID中,以增加隐蔽性。此外,文章还提供了一个自动化迁移的示例,即使用set autorunscript命令在Metasploit设置中指定一个脚本来在上线后自动将shell进程迁移到explorer.exe进程中,这样可以防止shell被用户意外删除,从而保证持续的控制。
Meterpreter 进程迁移 自动化脚本 Windows安全 渗透测试 Metasploit框架
0xf 【CentOS7操作系统安全加固系列】第(5)篇
WalkingCloud 2020-11-11T07:00:15 ©
【CentOS7操作系统安全加固系列】第(5)篇
0x10 CVE-2020-14871:Solaris 缓存溢出漏洞
信息安全最新论文技术交流 2020-11-10T19:42:49
研究人员发现Oracle Solaris 可插入身份验证模块10版本、11版本存在安全漏洞,该漏洞允许未经身
0x11 xHunt黑客利用两个新闻后门攻击Microsoft Exchange服务器
ISEC安全e站 2020-11-10T14:32:59 ISEC安全e站
2020年11月10日,安全专家发现科威特一家黑客组织正在对Microsoft Exchange服务器发动攻击,并发现了两个Powershell后门,分别被追踪为'TriFive'和'Snugy'。这两个后门脚本通过不同的命令和控制(C2)通道与黑客进行通信,以实现对受感染服务器的远程控制。TriFive后门利用Exchange Web Services(EWS)在受感染的电子邮件账户的Deleted Items文件夹内创建草稿,以此与黑客通信。而Snugy后门则使用DNS隧道通道来运行命令,窃取系统信息以及从服务器中窃取数据。目前,研究人员已经共享了相关的害指标(IoC),以便管理员检查其环境是否受到威胁,并指出xHunt黑客组织的活动仍在继续。
0x12 网络安全与蜜罐
Linux网络安全 2020-11-10T07:01:40 ©
本文详细介绍了网络安全中蜜罐技术的应用。蜜罐是一种网络安全工具,用于诱捕和监控黑客攻击。文章首先解释了蜜罐的基本概念,即通过设置一个看似易受攻击的系统来吸引黑客,从而收集他们的攻击方法和工具。接着,文章以HFish为例,介绍了一款基于Golang开发的跨平台多功能主动诱导型开源蜜罐框架系统。HFish支持多种类型的蜜罐,如HTTP(S)、SSH、SFTP、Redis、Mysql、FTP等,并提供API接口供用户扩展。文章还指导了HFish的下载、安装和配置过程,包括如何启动后台服务和访问后台界面。最后,文章简要提到了其他相关的网络安全教程和资源。
0x13 【CentOS7操作系统安全加固系列】第(4)篇
WalkingCloud 2020-11-10T07:00:00 ©
本文是关于CentOS7操作系统安全加固的第四篇教程,主要介绍了五个方面的安全加固措施。首先,检查SSH的MaxAuthTries参数设置,建议将其值设置为小于等于4,以减少暴力破解攻击的风险。其次,检查SSH空闲超时间隔设置,通过ClientAliveInterval和ClientAliveCountMax参数来控制SSH会话的超时,以防止长时间无响应的连接占用资源。接着,设置登录超时时间,通过在/etc/profile文件中添加TMOUT参数来实现在一定时间后自动登出。此外,文章还介绍了如何设置系统core dump状态,禁止组合键关机,以及如何通过修改系统配置文件来提高系统的安全性。最后,文章提供了相应的命令和操作步骤,帮助读者在实际环境中实施这些安全加固措施。
0x14 【CentOS7操作系统安全加固系列】第(3)篇
WalkingCloud 2020-11-09T00:00:00 ©
【CentOS7操作系统安全加固系列】第(3)篇
操作系统安全加固 密码策略 用户权限管理 SSH安全配置 入侵检测 系统完整性 PAM模块 Linux系统管理
本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。
