绿盟科技技术博客

Microsoft Office Word漏洞分析

2017-04-14钱, 雨村0Day漏洞, McAfee FireEye, Microsoft Office Word漏洞分析, Office Word漏洞分析, RTF恶意文档, vbscript脚本, Word 漏洞, 修复措施

4月7日，McAfee与FireEye的2名研究员爆出微软（Microsoft）Office Word的一个0-day漏洞。通过发送一个带有OLE2link对象附件的邮件，用户在打开附件时，代码会执行并且连接到一个攻击者控制的远程服务器，由此来下载一个恶意的HTML 应用文件(HTA)，此HTA文件会伪装成一个微软的RTF文档。当HTA文件自动执行后，攻击者会获得执行任意代码的权限，可以下载更多的恶意软件来控制受感染用户的系统。

phpcms v9.6 Content模块SQL注入漏洞分析

2017-04-14邓永凯attachments, cookie 访问, phpcms v9.6 Content模块, SQL注入漏洞分析, 漏洞修复, 漏洞分析

最近几天圈里放出来一波phpcms的0day漏洞，这就是其中一个。此漏洞觉得很有意思，而且利用也需要好几个步骤，Payload完全可以绕过WAF检测。

【威胁通告】Linux内核二次校验计算远程代码执行漏洞

2017-04-14绿盟科技Linux 远程代码执行漏洞, Linux内核校验漏洞, Linux内核漏洞, Linux内核二次校验漏洞, Linux内核二次校验计算远程代码执行漏洞, 绿盟科技, 远程代码执行漏洞

近日，Linux内核爆出一则高危漏洞（CVE-2016-10229，CNNVD-201703-210），在Linux 4.5之前的系统内核中，当recv以MSG_PEEK标志位被调用时，攻击者可以通过UDP来触发一个不安全的二次校验和计算，以此来远程执行代码，可能导致系统被控制或者造成拒绝服务攻击。

【威胁通告】ISC BIND 9多个远程拒绝服务漏洞

2017-04-14绿盟科技BIND 9 漏洞, BIND 多个远程拒绝服务漏洞, ISC BIND 9多个远程拒绝服务漏洞, ISC BIND 远程拒绝服务漏洞, 漏洞评估, 绿盟科技

当地时间12日（北京时间13日），ISC发布DNS软件BIND 9更新，修复了3个远程拒绝服务（DOS）漏洞。CVE编号： CVE-2017-3136， CVE-2017-3137， CVE-2017-3138。

【威胁通告】Microsoft Office Word 0-day远程代码执行漏洞

2017-04-11田泽夏0-day远程代码执行漏洞, Microsoft Office Word 0-day, Office Word 0-day 漏洞, Office Word 0-day远程代码执行漏洞, Word 0-day漏洞, 绿盟科技

金融行业需要关注《网络安全法》的6个要点

2017-04-10俞琛中华人民共和国网络安全法, 互联网金融, 技术防护措施, 管理机制, 网络安全工作思路, 网络安全法, 金融机构, 金融行业

《网络安全法》正式出台，对于加强互联网和网络安全方面的法律约束具有重要意义，对金融机构提出新的网络安全工作思路和要求，起到推进作用。本文梳理的关注点分布在工作依据、工作原则、网络运行、个人信息、监测与预警、内部审计6个方面，期许通过完善和加强这些方面的管理机制和技术防护措施，从而整体提升金融行业网络安全防护水平。

结合情报，携手建立新一代企业安全运营平台

2017-04-10富源企业安全平台, 关于加强网络安全信息通报预警工作的指导建议, 大数据, 安全运维, 建立新一代企业安全运营平台, 结合情报, 风险管理

随着企业信息化的不断发展，公司信息化资产数量日趋增多，导致网络安全日志从之前的Gb级一下跃升至PB级，给企业安全管理和安全运维带来巨大的困难。国家对网络安全越加重视，并逐年加大投入，同时对企业安全建设水平也提出了更高的要求，给安全从业人员带来巨大压力。

不列颠空战之抗D遐想

2017-04-09张鹏ADS, NTA, NTA-ATM, 云清洗平台, 云清洗平台抗D解决方案, 攻击演练, 绿盟科技

不列颠空战与抗DDoS之间有何联系？一个是真实世界的领空攻防战，一个是网络世界的流量攻防战，两个功防场景在克敌制胜方面有异曲同工之妙。本文将真实经典战役和运营商层面的DDoS攻防战互为类比进行推演，吸收真实战役的成功经验转换成抗D妙招，打造运营商云清洗平台抗D解决方案。

【威胁通告】Apple iOS WI-FI远程代码执行漏洞

2017-04-06绿盟科技Apple iOS WI-FI远程代码执行漏洞, Apple iOS 漏洞, Apple WI-FI 漏洞, Apple 漏洞, WI-FI远程代码执行漏洞, 绿盟科技, 苹果漏洞

上周，苹果（Apple）发布了iOS 10.3版本的升级补丁，超过100个应用安全问题被修复。然而苹果在4月5日又发布了一个紧急补丁10.3.1来修复一个重大漏洞（CVE-2017-6975）：当用户在使用WI-FI时，同一区域内的攻击者可以在用户的WI-FI芯片上执行代码，从而控制用户的iOS设备。

安全运营服务社会化精细分工发展观察

2017-04-02叶晓虎云安全大数据分析, 企业数字化变革与安全, 安全运营服务社会化, 安全运营服务社会化精细分工, 安全运营服务社会化精细分工发展观察, 绿盟科技

安全运营服务是今年热门的话题。如今企业和组织机构所处的互联网环境，通过观测发现现在的安全态势在不断地恶化。一方面企业引用的第三方代码在不断带来新的漏洞与风险，例如在全球引用struts2中间件的网站系统多达104万个，其中中国有近26万个系统，仅struts2漏洞就被曝光过多次。

Microsoft Windows Server 2003 R2 IIS 6.0 Remote Code Execution Technical Analysis and Solution

2017-04-02刘鹏EnglishVersion, Microsoft Windows Server 2003 R2 IIS 6.0, Remote Code Execution, Technical Analysis and Solution, Unaffected Versions, Vulnerability Analysis, Vulnerability Distribution Released by NSFOCUS Threat Intelligence (NTI)

On March 37, Zhiniang Peng and Chen Wu disclosed the Internet Information Services (IIS) 6.0 WebDAV remote code execution vulnerability, which has been assigned CVE-2017-7269 and CNNVD-201703-1151. This vulnerability, which could cause buffer overflows, is associated with the ScStoragePathFromUrl function in the WebDAV service in IIS 6.0 in Microsoft Windows Server 2003 R2.

Shamoon2恶意样本技术分析与检测防护方案

2017-03-31田泽夏Disttrack 恶意样本, Shamoon2 样本, Shamoon2恶意样本, Shamoon2恶意样本技术分析, Shamoon攻击, 恶意样本技术分析, 绿盟科技

2016年11月，网上一系列与2012年Shamoon攻击活动类似的破坏性攻击行为被发现，随后便有文章表示一种新型的Disttrack 恶意样本被发现用于一种全新的攻击活动。该攻击活动的目标包括在特定时间清空一个沙特阿拉伯的机构的系统，此机构与早在2012年出现的Shamoon的攻击目标一致。