2021年 第45周 微信公众号精选安全技术文章总览

    洞见网安 2021-11-8

    0x1 利用MAC绕过防火墙探测存活主机

    K8实验室 2021-11-14T22:18:13 k8gege

    Example Image


    Ladon中28种探测存活主机方法(含绕过防火墙探测)

    网络安全 内网渗透 网络扫描 防火墙 操作系统 漏洞扫描 工具使用 实验分析

    0x2 内网文件传输技术-Windows篇

    X的碎碎念 2021-11-13T19:51:36 Xavier

    Example Image


    本文简述内网Windows主机文件传输技术,包括利用ftp、VBScript、powershell、certutil.exe、bitsadmin、Xcopy,都是些老技术,整理分享。

    0x3 VMware vCenter Server权限提升漏洞风险提示

    安恒信息CERT 2021-11-11T17:44:19

    Example Image


    2021年11月10日,VMware发布了安全公告,修复了vCenter Server的一个权限提升漏洞(CVE-2021-22048)。该漏洞允许攻击者通过vCenter Server的IWA(集成Windows身份验证)认证机制提升其普通用户权限至更高权限组。受影响的版本包括VMware vCenter Server 7.0和6.7版本,以及Cloud Foundation (vCenter Server) 4.x和3.x版本。由于漏洞细节和利用代码尚未公开,VMware官方尚未提供修复补丁。建议用户将SSO身份源配置从IWA切换到Active Directory over LDAPs或AD FS的身份提供者联合,以缓解风险。安恒应急响应中心提供了详细的处置建议和参考链接。

    漏洞公告 权限提升 VMware vCenter Server CVE-2021-22048 安全漏洞 身份验证 缓解措施 应急响应 软件安全

    0x4 铭说 | Redis未授权访问漏洞Getshell

    聚铭网络 2021-11-10T17:49:57 © 聚铭安全研究院

    Example Image


    Redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API。

    0x5 微软11月安全更新补丁和多个高危漏洞风险提示

    安恒信息CERT 2021-11-10T17:32:55

    Example Image


    微软在2021年11月9日发布了安全更新公告,针对其家族多个软件的55个安全漏洞进行了修复,其中包括6个严重漏洞和多个高危漏洞。这些受影响的软件包括Windows、Azure、Exchange Server、Microsoft Office、Microsoft Dynamics、Microsoft Edge等。公告中特别提到了几个高风险漏洞,如Microsoft虚拟机总线(VMBus)远程代码执行漏洞(CVE-2021-26443)、OpenSSL SM2解密缓冲区溢出漏洞(CVE-2021-3711)、远程桌面客户端远程代码执行漏洞(CVE-2021-38666)等,建议用户尽快安装安全更新补丁或采取临时缓解措施。公告还提供了详细的受影响范围和漏洞描述,以及Windows自动更新和手动更新的步骤,并指导用户参考官方通告及时下载更新补丁。

    漏洞公告 微软补丁 远程代码执行 缓冲区溢出 内存损坏 信息泄露 特权提升 拒绝服务 欺骗 远程桌面 Office Exchange Server Azure Visual Studio Windows

    0x6 关于FreeMarker模板注入

    星河安全 2021-11-09T17:47:59 © 星河Salaxy

    Example Image


    本文详细介绍了FreeMarker模板注入的概念、原理、漏洞演示、发现漏洞与利用方法以及防御措施。FreeMarker是一款模板引擎,用于生成HTML网页、电子邮件等输出文本。然而,如果服务端接收了用户的恶意输入并将其作为模板内容的一部分,可能会引发敏感信息泄露、代码执行等问题。文章通过实例代码和漏洞演示,展示了如何利用FreeMarker模板注入漏洞,并提供了发现漏洞的方法和利用内建函数new的技巧。同时,文章还介绍了FreeMarker的安全机制,包括限制内置函数new对类的访问、限制api内建函数的使用、禁用危险方法以及引入基于MemberAccessPolicy的新沙箱。最后,文章提出了防止模板注入的最佳实践,如不允许用户修改或提交新模板,使用“无逻辑”模板引擎,以及在沙盒环境中执行用户代码。

    模板注入 网络安全漏洞 Java安全 Web安全 安全防御 代码审计

    0x7 准确识别APT攻击的安全技术

    国联易安 2021-11-09T10:22:36 © 国联君

    Example Image


    本文详细分析了APT(高级持续性威胁)攻击的特点和识别方法。文章指出,APT攻击具有攻击者专业、目的明确、手段多样、持续时间长、隐蔽性强和间接攻击等特点。与传统网络攻击相比,APT攻击针对性强、组织严密、持续时间长、隐蔽性强。文章还介绍了APT攻击的常见特征,如针对性强、组织严密、持续时间长、隐蔽性强和间接攻击等。此外,文章回顾了近期活跃的APT组织及其攻击活动,并强调了APT攻击的威胁性。为了应对APT攻击,文章推荐了国联易安自主研发的国联恶意代码检测系统,该系统具备AI仿真诱捕技术、机器学习、根因分析、威胁情报等功能,能够有效识别和定位APT攻击。

    APT攻击 网络安全技术 恶意代码检测 威胁情报 网络安全防御 网络安全趋势 网络安全产品 网络安全分析

    0x8 在野完整Chrome浏览器漏洞利用攻击链分析【软件安全(本)】

    水网火安 2021-11-09T08:56:21

    Example Image


    近日,奇安信威胁情报中心红雨滴团队成功监测到多例利用Chrome浏览器高危漏洞及Windows内核权限提升漏洞的攻击案例。这些攻击旨在穿透Chrome浏览器的沙盒,实现远程代码执行。这是全球范围内首次监测到此类攻击,攻击链与PuzzleMaker组织今年6月针对多家公司的高度针对性攻击活动所用漏洞攻击链相似。红雨滴团队捕获了完整的漏洞利用攻击链,并分析了相关技术细节,以便安全厂商采取防护措施。奇安信的多款安全产品已支持对此类威胁的检测,建议用户升级至最新版本和规则库以增强安全性。

    漏洞分析 浏览器安全 APT攻击 威胁情报 漏洞利用 终端安全 软件安全

    0x9 瑞星捕获最新窃密木马 国内已有金融企业遭受攻击【软件安全(本)】

    水网火安 2021-11-09T08:56:21

    Example Image


    近日,瑞星威胁情报中心发现了一种名为AgentTesla的窃密木马病毒的新型变种,该病毒通过钓鱼邮件传播,诱导用户运行恶意附件。病毒能够收集用户的浏览器、邮件、FTP、VPN、即时通讯等软件的账号密码,以及屏幕截图和键盘击键等信息。瑞星公司指出,已有国内金融企业遭受了该病毒的攻击。为应对这一威胁,瑞星建议用户不打开可疑文件,部署网络安全态势感知和预警系统,安装有效的杀毒软件,并及时更新系统补丁。瑞星的ESM防病毒终端安全防护系统等产品能够拦截并查杀该病毒,帮助用户规避安全风险。

    木马病毒 钓鱼邮件 窃密攻击 金融安全 终端安全 安全防护 威胁情报 漏洞利用

    0xa 红蓝对抗|备战大型攻防演练,这一篇就够了

    天津恒御科技有限公司 2021-11-09T08:01:13

    Example Image


    在以往的安全观念中,攻击者如需从外网突破,势必要经历初始入侵、维持权限、信息搜集、横向提权的多个循环,直至最后获得服务器的管理员权限。

    0xb 安全周报

    金瀚信安 2021-11-08T18:00:00

    Example Image


    本周安全态势综述本周共收录安全漏洞60个,值得关注的是Cisco Policy Suite静态SSH密钥漏洞

    0xc CVE-2021-43267: Linux TIPC模块任意代码执行漏洞

    信息安全最新论文技术交流 2021-11-08T12:27:00

    Example Image


    研究人员发现Linux kernel TIPC模块任意代码执行漏洞。

    0xd 压缩软件WinRAR爆安全漏洞,攻击者可以远程执行任意代码【软件安全(本)】

    水网火安 2021-11-08T11:25:35

    Example Image


    本文报道了Windows系统上压缩软件WinRAR试用版的一个新安全漏洞,漏洞编号为CVE-2021-35052,影响了5.70版本的WinRAR试用版。该漏洞使得攻击者能够拦截并修改发送给应用程序用户的请求,进而实现远程代码执行(RCE)攻击。这种攻击方式允许攻击者在受害者的计算机上执行任意代码。软件漏洞对软件安全构成重大威胁,因此,软件在正式上线前必须经过严格的安全处理和测试。一旦发现软件漏洞,应立即处理,以防止不法分子利用这些漏洞进行非法获利等不法行为。

    软件漏洞 远程代码执行(RCE) Windows安全 网络安全事件 安全漏洞处理

    0xe 缓冲区溢出

    墨守安全 2021-11-08T09:30:00 © 江左盟宗主

    Example Image


    本文详细介绍了常见的保护措施及其在防范内存损坏漏洞中的作用。首先,ASLR(地址空间布局随机化)通过随机化进程关键数据区域的地址空间来防止攻击者利用已知地址进行攻击。Linux下可通过/proc/sys/kernel/randomize_va_space查看其状态,Windows下默认开启ASLR,但可通过设置关闭。其次,DEP(数据执行保护)中的NX(No-Execute)技术将数据所在内存页标识为不可执行,防止恶意代码在栈上执行。PIE(位置独立可执行文件)通过随机化ELF装载内存的基址,使得反汇编后的地址用偏移表示而非绝对地址。Canary保护在函数返回前插入cookie信息,用于验证返回地址是否被篡改,防止栈溢出攻击。RELRO(重定位只读)通过设置符号重定位表格为只读或解析并绑定所有动态符号,减少GOT攻击。文章还通过一个32位程序示例,详细讲解了栈溢出的原理、利用方法、坏字节检测以及Exploit的编写,包括两种shellcode布局方式(Payload+shellcode+填充+jmp esp地址和Payload+jmp esp地址+shellcode)及其对应的Python和C语言利用代码。

    ASLR DEP PIE Canary RELRO 栈溢出 缓冲区溢出 Exploit开发 坏字节 shellcode 安全配置

    本站文章为人工采集,目的是为了方便更好的提供免费聚合服务,如有侵权请告知。具体请在留言告知,我们将清除对此公众号的监控,并清空相关文章。所有内容,均摘自于互联网,不得以任何方式将其用于商业目的。由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,本站以及文章作者不承担任何责任。