雷神眾測漏洞周報2021.06.28-2021.07.04-4
聲明
以下內(nèi)容,均摘自于互聯(lián)網(wǎng),由于傳播,利用此文所提供的信息而造成的任何直接或間接的后果和損失,均由使用者本人負(fù)責(zé),雷神眾測以及文章作者不承擔(dān)任何責(zé)任。
雷神眾測擁有該文章的修改和解釋權(quán)。如欲轉(zhuǎn)載或傳播此文章,必須保證此文章的副本,包括版權(quán)聲明等全部內(nèi)容。聲明雷神眾測允許,不得任意修改或增減此文章內(nèi)容,不得以任何方式將其用于商業(yè)目的。
目錄
1. Istio憑據(jù)泄露漏洞
2. Windows 打印服務(wù)0Day漏洞風(fēng)險
3. ForgeRock AM遠(yuǎn)程代碼執(zhí)行漏洞
4. Windows Print Spooler 遠(yuǎn)程代碼執(zhí)行漏洞
漏洞詳情
1.Istio憑據(jù)泄露漏洞
漏洞介紹:
近日,Istio官方發(fā)布了一個可遠(yuǎn)程利用的漏洞公告,通過該漏洞可以從不同的命名空間訪問Gateway和DestinationRule credentialName字段中指定的憑據(jù)(TLS證書和私鑰),漏洞對應(yīng)CVE編號:CVE-2021-34824。
漏洞危害:
Istio存在允許授權(quán)客戶端訪問和檢索Istiod中緩存的TLS證書和私鑰,從而導(dǎo)致敏感信息泄露。
漏洞編號:
CVE-2021-34824
影響范圍:
Istio 1.10.0至1.10.1
Istio 1.9.0至1.9.5
Istio <= 1.8.x
Istio 定義了Gateways或DestinationRules具備訪問credentialName指定字段
Istio 沒有指定Istiod標(biāo)志(PILOT_ENABLE_XDS_CACHE=false)
修復(fù)方案:
及時測試并升級到最新版本或升級版本
來源: 安恒信息應(yīng)急響應(yīng)中心
2. Windows 打印服務(wù)0Day漏洞風(fēng)險
漏洞介紹:
2021年7月1日,微軟提前發(fā)布Windows Print Spooler 遠(yuǎn)程代碼執(zhí)行漏洞(CVE-2021-34527)。
漏洞危害:
當(dāng) Windows Print Spooler 服務(wù)不正確地執(zhí)行特權(quán)文件操作時,存在遠(yuǎn)程執(zhí)行代碼漏洞風(fēng)險。成功利用此漏洞的攻擊者可以使用 SYSTEM 權(quán)限運行任意代碼。然后攻擊者可以安裝程序;查看、更改或刪除數(shù)據(jù);或創(chuàng)建具有完全用戶權(quán)限的新帳戶。
漏洞編號:
CVE-2021-34527
影響范圍:
包含該漏洞的代碼存在于所有版本的 Windows 中,目前微軟正在調(diào)查是否所有版本都可以利用
修復(fù)建議:
微軟公司給出了針對該漏洞的緩解辦法,目前正式補丁尚未發(fā)布。
緩解漏洞風(fēng)險可參考以下步驟:
確定 Print Spooler 服務(wù)是否正在運行(以域管理員身份運行)
以域管理員身份運行以下命令:
Get-Service -Name Spooler
如果 Print Spooler 正在運行或該服務(wù)未設(shè)置為禁用,請選擇以下選項之一以禁用 Print Spooler 服務(wù),或通過組策略禁用入站遠(yuǎn)程打印:
選項 1 - 禁用 Print Spooler 服務(wù)
如果禁用 Print Spooler 服務(wù)適合您的企業(yè),請使用以下 PowerShell 命令:
Stop-Service -Name Spooler -Force
Set-Service -Name Spooler -StartupType Disabled
注:禁用 Print Spooler 服務(wù)會禁用本地和遠(yuǎn)程打印功能。
選項 2 - 通過組策略禁用入站遠(yuǎn)程打印
運行組策略編輯器(Win+R,輸入gpedit.msc,打開組策略編輯器),依次瀏覽到:計算機配置/管理模板/打印機:
禁用“允許打印后臺處理程序接受客戶端連接:”策略以阻止遠(yuǎn)程攻擊。
變通辦法的影響:
此策略將通過阻止入站遠(yuǎn)程打印操作來阻止遠(yuǎn)程攻擊。該系統(tǒng)將不再用作打印服務(wù)器,但仍然可以本地打印到直接連接的設(shè)備。
來源:騰訊安全威脅情報中心
3. ForgeRock AM遠(yuǎn)程代碼執(zhí)行漏洞
漏洞介紹:
ForgeRock AM是一個開源的訪問管理、權(quán)限控制平臺,在大學(xué)、社會組織中存在廣泛的應(yīng)用。
漏洞危害:
未經(jīng)身份驗證的攻擊者可以通過構(gòu)造特殊的請求遠(yuǎn)程執(zhí)行任意代碼,并接管運行ForgeRock AM的服務(wù)器。由于 ForgeRock AM本身的權(quán)限管理功能,攻擊者在控制 ForgeRock AM的服務(wù)器還可以直接訪問其他敏感服務(wù),進(jìn)行進(jìn)一步的攻擊。
漏洞編號:
CVE-2021-35464
影響范圍:
ForgeRock AM 6.0.0.x
ForgeRock AM 6.5.0.x
ForgeRock AM 6.5.1
ForgeRock AM 6.5.2.x
ForgeRock AM 6.5.3
修復(fù)建議:
及時測試并升級到最新版本或升級版本
來源:360CERT
4. Windows Print Spooler 遠(yuǎn)程代碼執(zhí)行漏洞
漏洞介紹:
Windows Print Spooler是Windows的打印機后臺處理程序,廣泛的應(yīng)用于各種內(nèi)網(wǎng)中。
漏洞危害:
攻擊者可以通過該漏洞繞過PfcAddPrinterDriver的安全驗證,并在打印服務(wù)器中安裝惡意驅(qū)動程序。若攻擊者所控制的用戶在域中,則攻擊者可能連接到DC中的Spooler服務(wù),并利用該漏洞在DC中安裝惡意驅(qū)動程序,從而可能控制整個域環(huán)境。
漏洞編號:
CVE-2021-1675
影響范圍:
Windows Server 2019 (Server Core installation)
Windows Server 2019
Windows Server 2016 (Server Core installation)
Windows Server 2016
Windows Server 2012 R2 (Server Core installation)
Windows Server 2012 R2
Windows Server 2012 (Server Core installation)
Windows Server 2012
Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
Windows Server 2008 R2 for x64-based Systems Service Pack 1
Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for x64-based Systems Service Pack 2
Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
Windows Server 2008 for 32-bit Systems Service Pack 2
Windows Server, version 2004 (Server Core installation)
Windows RT 8.1
Windows 8.1 for x64-based systems
Windows 8.1 for 32-bit systems
Windows 7 for x64-based Systems Service Pack 1
Windows 7 for 32-bit Systems Service Pack 1
Windows 10 Version 1607 for x64-based Systems
Windows 10 Version 1607 for 32-bit Systems
Windows 10 for x64-based Systems
Windows 10 for 32-bit Systems
Windows Server, version 20H2 (Server Core Installation)
Windows 10 Version 20H2 for ARM64-based Systems
Windows 10 Version 20H2 for 32-bit Systems
Windows 10 Version 20H2 for x64-based Systems
Windows 10 Version 2004 for x64-based Systems
Windows 10 Version 2004 for ARM64-based Systems
Windows 10 Version 2004 for 32-bit Systems
Windows 10 Version 21H1 for 32-bit Systems
Windows 10 Version 21H1 for ARM64-based Systems
Windows 10 Version 21H1 for x64-based Systems
Windows 10 Version 1909 for ARM64-based Systems
Windows 10 Version 1909 for x64-based Systems
Windows 10 Version 1909 for 32-bit Systems
Windows 10 Version 1809 for ARM64-based Systems
Windows 10 Version 1809 for x64-based Systems
Windows 10 Version 1809 for 32-bit Systems
修復(fù)建議:
及時測試并升級到最新版本或禁用Print Spooler服務(wù)來緩解漏洞風(fēng)險
來源:騰訊安全威脅情報中心
專注滲透測試技術(shù)
全球最新網(wǎng)絡(luò)攻擊技術(shù)