来自 数据 2021-10-12 17:06 的文章

云防护_ddos流量攻击_无限

云防护_ddos流量攻击_无限

SharePoint漏洞在5月份首次被利用,但在被微软修补9个月后,该漏洞仍在继续被利用。背景12月10日,安全研究人员凯文·博蒙特(Kevin Beaumont)发布了一条推文,警告各组织修补一个微软SharePoint漏洞,该漏洞至少自5月以来就一直在被大量利用,此后一直是网络犯罪分子的宝贵资产。提醒所有组织都应该修补SharePoint漏洞CVE-2019-0604(从2月开始),因为大量资产仍然暴露在外,而且该漏洞在野外被积极利用。-凯文·博蒙特(@GossiTheDog)2019年12月10日分析CVE-2019-0604是Microsoft SharePoint中的远程代码执行(RCE)漏洞,原因是在检查应用程序包的源标记时输入验证不正确。攻击者成功利用此漏洞将允许他们"在SharePoint应用程序池和SharePoint服务器场帐户的上下文中"执行任意代码。安全研究员Markus Wulftange报告了该漏洞,简单防御ddos,他在3月13日的"零日计划"的博客中分享了他的发现的详细记录。5月9日,cc代理攻击防御,安全研究人员克里斯·多曼(Chris Doman)发布了一条推特,根据沙特阿拉伯国家网络安全中心(National Cyber security Centre)和加拿大网络安全中心(Canadian Centre for Cyber security)的报告,该漏洞正在野外被利用。SharePoint CVE-2019-0604目前正在野外被利用-沙特报告(https://t.co/m6VmF7n2Js)加拿大人呢(https://t.co/yhzY8qgxi8)国家网络安全中心。一些额外的IOC@https://t.co/gsGOoh6h9rpic.twitter.com/70LQCOmuTn-克里斯·多曼(@chrisdoman)2019年5月9日5月28日,Palo Alto Networks发表了一篇博客,指出了这一漏洞在被称为"熊猫使者"的威胁参与者的定向攻击中的使用。此外,CloudFlare在5月28日发布了一篇关于该漏洞的博客。CloudFlare确认,该漏洞可能在预认证时被利用,因为"存在未经身份验证就可以到达的路径"。因此,他们对NVD的漏洞评分8.8提出异议,建议将该漏洞改为9.8分。他们还发现,针对该漏洞的概念验证(PoC)代码"并非开箱即用",需要"由更熟练的对手进行武器装备"11月25日,博蒙特修改了他的BlueKeep蜜罐"BluePot",以支持SharePoint。一天之后,博蒙特证实了"攻击者来了。"他重申,该漏洞的CVSS分数是错误的,应该是9.8,因为"它可以在没有身份验证的情况下工作。"他在12月10日发布了另一个提醒,因为该漏洞仍在野外被利用,"大量资产仍然暴露在外"概念证明最初,5月份发布了一个GitHub存储库,防御ddos关闭哪些端口,其中包含该漏洞的PoC代码。但是,该存储库已被删除。6月份发布到GitHub存储库中的该漏洞还有另一个PoC,香港高防cdn节点,最近几天,ddos防御软防御,GitHub上发布了一份详细说明该PoC用法的报告。今年9月,安全分析师曼苏尔·萨伊迪(Mansour Al-Saeedi)发表了基于零日倡议(Zero Day Initiative)初步工作的漏洞分析,演示了一个快速PoC。Al-Saeedi还发布了一份关于RCE漏洞的包捕获分析,该分析与Snort和Sigma规则一起执行,以将其检测到GitHub存储库中。解决方案微软最初在2月12日的补丁中修补了这个漏洞。然而,这个补丁显然是不完整的,因为微软在3月12日发布了一个后续版本来"全面解决"这个缺陷。识别受影响的系统可以在这里找到识别此漏洞的可靠插件列表。获取更多信息微软CVE-2019-0604咨询Markus Wulftange对CVE-2019-0604的详细说明Palo Alto Networks关于熊猫使者开发CVE-2019-0604的博客Cloudflare关于停止CVE-2019-0604的博客Mansour Al-Saeedi对CVE-2019-0604的分析成立社区企业网络曝光获取30天免试版泰纳布尔.io漏洞管理