绿盟科技网络安全威胁周报NSFOCUS-19-21

截止到2019年5月24日,绿盟科技漏洞库已收录总条目达到43367条。本周新增漏洞记录41条,其中高危漏洞数量8条,中危漏洞数量31条,低危漏洞数量2条。

当未经身份验证的攻击者使用Remote Desktop Services(RDP)连接到目标系统并发送特制请求时,RDP中存在远程执行代码漏洞。此漏洞发生在身份验证前,无需用户交互。成功利用此漏洞的攻击者可以在目标系统上执行任意代码,然后可以安装程序, 查看、更改或删除数据,或创建具有完全用户权限的新帐户。要利用此漏洞,攻击者需要通过RDP向目标系统远程桌面服务发送特制请求。 目前厂商已经提供补丁程序,请到厂商的相关页面下载补丁。

Read More

智能威胁分析之图数据构建

RSAC大会的热度似乎持续了一整个北京的春天,直播、新闻、技术解读、研讨活动让人应接不暇。从RSA大会官网上查询今年“Better.”主题的由来和背景,发现会议主题的设计虽然从字面似乎是表达“去年做的不错,今年再接再厉”的客观评价,不过更多的,是大会对安全行业“不忘初心”的鼓励。“最重要的是,永远不要忘记我们来到这里的根本原因:帮助确保一个更安全的世界,这样其他人就可以着手让世界变得更美好。” 看到这里,读者脑海中是否也回荡起Michael Jackson的经典歌曲“Heal the world, make it a better place…”闲言少叙,作为网络安全数据应用的研究者,常常会思考的一个问题,是怎么才叫安全智能,怎么才能让网络安全更智能(better)?

Read More

重要通知 | 绿盟NIPS发布CVE-2019-0708漏洞防护规则

, ,

针对近日曝出的Windows 远程桌面无需授权认证的远程代码执行漏洞(CVE-2019-0708),绿盟网络入侵防护系统(NIPS)发布漏洞防护规则,可以检测并阻断对目标系统的漏洞攻击。用户可开启绿盟NIPS自动规则升级功能或者至绿盟科技官网下载该规则升级包并更新至IPS设备上,以保证目标系统不受该漏洞的攻击。

Read More

绿盟科技互联网安全威胁周报NSFOCUS-19-20

, , , ,

绿盟科技发布了本周安全通告,周报编号NSFOCUS-19-20, 绿盟科技漏洞库 本周新增62条,其中高危26条。本次周报建议大家关注Microsoft Windows DHCP Server远程代码执行漏洞,DHCP服务器是TCP/IP网络的服务器协议,它为网络中的其他计算机提供IP地址。成功利用此漏洞的攻击者可以在DHCP服务器上运行任意代码。要利用此漏洞,远程未经身份验证的攻击者可以将特制的数据包发送到受影响的DHCP服务器。 目前厂商已经提供补丁程序,请到厂商的相关页面下载补丁。

Read More

IoT设备逆向工程中的函数识别

,

本文主要讨论IoT设备逆向工程中的函数识别、符号迁移问题,不考虑BinDiff、PatchDiff2等重型工具,有些场景也不太适用。函数识别技术主要涉及两大类,一是IDA自身的FLIRT技术,二是Craig的rizzo技术,本文介绍它们的基本原理、工程实践细节。另外附赠几个其他类型IDA插件的使用说明。

Read More

【威胁通告】Cisco Prime Infrastructure and Evolved Programmable Network Manager远程代码执行漏洞

当地时间5月15日,Cisco官方发布一则安全通告,称修复了Cisco Prime Infrastructure and Evolved Programmable Network Manager中存在的3个高危漏洞(CVE-2019-1821、CVE-2019-1822、CVE-2019-1823)。这些漏洞源于软件没有合理地对用户输入进行校验和过滤,攻击者可以通过向管理员界面上传恶意的文件来触发,利用成功会使得攻击者在被攻击系统中以root权限执行代码。

Read More

【M01N】APT34 Glimpse&PoisonFrog 项目分析

, ,

近期在Lab Dookhtegan Telegram Chanel中泄露的关于APT34的攻击工具项目、攻击成果记录及部分组织成员信息的事件,引发业界威胁情报及Red Team领域的安全人员强烈关注。类似于2017年Shadow Brokers泄漏的NSA攻击工具事件,但APT34工具的工程化程度和威胁影响力远不及NSA的泄露内容。就C2分析该组织习惯使用DNS隧道技术,并以文件系统来作为信息交互的媒体,这是一种非常规的实现方法,我们将在本文中对相关远控工具进行分析并尝试完成攻击功能还原。

Read More