来自 CC防护 2021-10-12 15:21 的文章

ddos防火墙_高防ddos怎么打_超稳定

ddos防火墙_高防ddos怎么打_超稳定

攻击者正在探测易受攻击的Microsoft Exchange服务器,因为有关一个严重缺陷的详细信息最近被公开。更新02/27/2020:概念验证部分已更新,以反映几个漏洞利用脚本的可用性,美国ddos防御共享dns,安全保障DDoS防御行吗,ddos怎样防御,包括可用于自动利用的脚本。背景2月11日,微软发布了一个针对微软Exchange服务器严重漏洞的补丁,作为其周二更新的每月补丁的一部分。最初,怎么做到防御cc,Microsoft将此标记为Microsoft Exchange中的内存损坏漏洞。然而,自从微软更新了该缺陷的标题和描述之后。分析CVE-2020-0688是Microsoft Exchange Server组件Microsoft Exchange控制面板(ECP)中的静态密钥漏洞。使用静态密钥可允许具有任何权限级别的已验证攻击者向易受攻击的ECP发送精心编制的请求,并获得系统级任意代码执行。微软认为这个漏洞很重要,但根据其可利用性指数,利用漏洞的可能性更大。漏洞详细信息根据Zero Day Initiative(ZDI)的研究人员称,Microsoft Exchange Server安装在web配置的MachineKey部分"具有相同的validationKey和decryptionKey"(web.config文件). 正如ZDI所指出的,这些密钥用于保护ViewState中以序列化形式存储的服务器端数据,ViewState作为来自客户端的请求的一部分包含在"\uuviewstate"参数中。(如果这听起来很熟悉,那是因为我们最近在博客中提到了Microsoft SQL Server Reporting Services中的一个不正确的输入验证漏洞,该漏洞还涉及通过VIEWSTATE参数序列化不受信任的数据。)要生成恶意请求,攻击者需要获取以下参数值:参数位置验证密钥System.Web.配置验证System.Web.配置视图状态生成器Exchange控制面板源ASP.NET_会话ID请求头中的Cookie字段虽然前两个参数是静态的,很容易获得,但后两个参数要求攻击者使用有效的用户凭据登录易受攻击的ECP实例。只有这样,攻击者才能从HTML源代码和请求头中的cookie字段捕获这些参数。一旦攻击者获得这些值,他们就可以使用ysoserial.net网站作为对易受攻击的ECP实例的恶意请求的一部分。在他们的博客中,ZDI分享了一段YouTube视频,展示了该漏洞的利用。有效用户凭据要求作为Twitter关于漏洞的一部分,安全研究人员Kevin Beaumont指出,身份验证"不是一个大障碍"。他还指出,有一些工具可以从LinkedIn页面捕获员工信息,并使用这些工具通过凭证填充来锁定Outlook Web Access(OWA)。Beaumont说,这些工具"用于主动攻击,以获得OWA和ECP访问权限。"有一些开源工具可以从LinkedIn上获取公司页面的输入,转储所有员工的姓名,然后通过填充凭证的方式将outlookwebapp与身份验证相结合。这些工具用于主动攻击,以获得OWA和ECP访问权限。-凯文·博蒙特(@GossiTheDog)2020年2月25日落后于修补程序的组织Microsoft提供了一种通过OWA和ECP的登录页识别Exchange服务器内部版本号的方法,使攻击者能够识别哪些服务器可能容易受到CVE-2020-0688的攻击。Beaumont通过"快速样本"发现,组织在修补Exchange Server实例时"平均落后了几年而不是几个月",这是一个主要问题。还有一件事-你可以在ECP和OWA登录页面看到Exchange的补丁版本,所以预计在未来几周内,互联网上会有一些关于这个(补丁速率)的大扫除。我刚做了一个快速的样本,组织平均是在几年后而不是几个月后。-凯文·博蒙特(@GossiTheDog)2020年2月25日攻击者正在探测易受攻击的Microsoft Exchange服务器ZDI的博客文章发表后不久,攻击者就开始探测易受攻击的Microsoft Exchange服务器。Bad Packets的首席研究官特洛伊·穆尔希(Troy Mursch)在推特上表示,针对这一漏洞的"大规模扫描活动已经开始"。CVE-2020-0688大规模扫描活动已经开始。查询API中的"tags=CVE-2020-0688"以定位进行扫描的主机。#威胁-坏数据包报告(@Bad_Packets)2020年2月25日博蒙特本人也根据来自BinaryEdge的数据确定了针对该漏洞的大规模扫描活动。这很快,因为2小时前看到了CVE-2020-0688(Microsoft Exchange 2007+RCE漏洞)的大规模扫描。pic.twitter.com/Kp3zOi5AOA-凯文·博蒙特(@GossiTheDog)2020年2月25日概念证明ZDI的博客文章中可以找到详细的关于这个漏洞的概念证明。此外,最近在GitHub[1,2,防御cc代码,3]上共享了几个攻击脚本,只要用户有有效的凭据,这些脚本就可以自动进行攻击。解决方案Microsoft于2020年2月11日星期二为Microsoft Exchange Server 2010、2013、2016和2019发布了此漏洞的修补程序。尽管未经证实,这也可能会影响到Microsoft Exchange Server 2007,该服务器已于2017年4月停止使用。Microsoft Exchange Server版本支持文章2010服务包345369892013年累计更新2345369882016年累计更新1445369872016年累计更新1545369872019年累计更新345369872019年累计更新44536987识别受影响的系统可以在这里找到识别此漏洞的可靠插件列表。获取更多信息微软CVE-2020-0688咨询零日倡议在CVE-2020-0688上的博客成立社区企业网络曝光获取30天免试版泰纳布尔.io漏洞管理