绿盟科技互联网安全威胁周报NSFOCUS-18-33

绿盟科技发布了本周安全通告,周报编号NSFOCUS-18-33, 绿盟科技漏洞库 本周新增94条,其中高危67条。本次周报建议大家关注Microsoft Exchange 内存破坏安全漏洞等,该漏洞源于软件无法正确处理内存中的对象, 成功利用此漏洞的攻击者可以在System用户的上下文中运行任意代码。 然后攻击者可以安装程序。目前厂商已经发布了升级补丁以修复这个安全问题,请用户及时到厂商的主页下载。

【预警通告】Microsoft Exchange Server远程代码执行漏洞CVE-2018-8302

微软官方于8月14日发布了63个漏洞的补丁程序,其中存在于Microsoft Exchange Server中的远程代码执行漏洞(CVE-2018-8302)需重点关注,该产品大部分版本受此漏洞影响。攻击者只需获得使用UM语音信箱功能的邮箱账户,并执行通过Exchange Web Services上传.Net反序列化payload的命令。在拨打此账户的语音邮箱后,即可触发payload,造成System级远程代码执行。

基于智能学习与业务感知的工控安全监测体系建设

绿盟科技针对工控系统网络可能发生的异常行为进行安全监测研究,深入解析不同行业工控系统使用的工控协议,利用基于白名单的业务行为基线和基于黑名单的入侵检测规则匹配,重点对工控系统监测审计与入侵检测技术进行了深入研究,提出了基于智能学习与业务感知的工控安全监测体系。

【事件分析】No.9 潘多拉魔盒般的Webshell上传

近年来,Web应用程序是攻击者利用安全漏洞进行攻击的最常见目标之一。在成功渗透进Web站点后,攻击者会使用Webshell维持对目标长久的访问权限。尽管Webshell在实践中普遍存在,并且严重涉及Web安全问题,但它从未成为任何研究的直接主题。相反,Webshell经常被视为需要检测和删除的恶意”软件”,而不是需要分析和详细了解的恶意代码,久而久之给企业等网站带来巨大的危害。今天就为大家带来平台事件规则解读系列第九篇——潘多拉魔盒般的Webshell上传。