绿盟科技技术博客

Microsoft Office OLE2Link(CVE-2017-0199)漏洞利用技术分析与防护方案

2017-04-18李东宏CVE-2017-0199, CVE-2017-0199 漏洞, Microsoft Office OLE2Link(CVE-2017-0199)漏洞, Office OLE2Link 漏洞, 漏洞攻击事件, 漏洞利用技术分析与防护方案, 绿盟科技

2017年4月7日McAfee与FireEye的2名研究员爆出微软（Microsoft）Office Word的一个0-day漏洞（CVE-2017-0199）的相关细节。攻击者可以向受害人发送一个带有OLE2link对象附件的恶意邮件，诱骗用户打开。

【威胁通告】Apache Log4j反序列化漏洞

2017-04-18绿盟科技Apache Log4j 漏洞, Apache Log4j反序列化漏洞, Apache 反序列化漏洞, Apache 漏洞, Log4j反序列化漏洞, 绿盟科技, 规避方案

北京时间18日清晨，Apache Log4j 被曝出存在一个反序列化漏洞(CVE-2017-5645)。攻击者可以通过发送一个特别制作的2进制payload，在组件将字节反序列化为对象时，触发并执行构造的payload代码。

phpcms v9.6注册功能远程getshell 0day漏洞分析

2017-04-17邓永凯getshell 0day漏洞, phpcms 0day, phpcms v9.6注册功能, phpcms v9.6注册功能远程getshell 0day漏洞, 远程getshell 0day漏洞, 远程getshell 0day漏洞分析

phpcms在国内应该使用很多，前几天被爆出来一个getshell的0day，这个漏洞无需登录即可远程直接getshell，所以影响很大。phpcms官方4月12日发布了9.6.1版本，对漏洞进行了补丁修复。

【预警通告】Jackson框架Java反序列化远程代码执行漏洞

2017-04-17绿盟科技Jackson Java 漏洞, Jackson 漏洞, Jackson框架漏洞, Jackson框架Java反序列化远程代码执行漏洞, Java 远程代码执行漏洞, Java反序列化漏洞, Java反序列化远程代码执行漏洞, 绿盟科技

北京时间4月15日，Jackson框架被发现存在一个反序列化代码执行漏洞。该漏洞存在于Jackson框架下的enableDefaultTyping方法，通过该漏洞，攻击者可以远程在服务器主机上越权执行任意代码，从而取得该网站服务器的控制权。

方程式危机绿盟TVM情报驱动快速应急响应

2017-04-15向智TVM+NTI, 快速应急响应, 情报驱动快速应急响应, 方程式危机, 绿盟TVM, 绿盟TVM情报驱动快速应急响应, 绿盟威胁和漏洞管理平台

北京时间4月14日晚间，Shadow Brokers组织公布了此前窃取的部分方程式（Equation Group）的机密文件。这部分被公开的文件曾经被Shadow Brokers组织以数亿美金拍卖，因为这部分文件包含了数个令人震撼的黑客工具，用来攻击包括Windows在内的多个系统漏洞。此次泄漏的文件包括三部分：Windows, Swift以及Odd。

解读《工业控制系统信息安全防护指南》

2017-04-15王晓鹏工业控制系统信息安全防护指南, 工控信息安全, 工控安全, 工控安全生命周期, 技术方向的差异, 等级保护, 防护指南

11月7日，《中华人民共和国网络安全法》通过，在第三十一条明确规定，”国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的关键信息基础设施，在网络安全等级保护制度的基础上，实行重点保护。”

【预警通告】方程式组织泄漏大量针对Windows攻击工具威胁

2017-04-15绿盟科技Microsoft Windows 0-day漏洞, Microsoft Windows 大规模0-day漏洞, Microsoft Windows 大规模0-day漏洞泄漏, Shadow Brokers, Windows 0-day漏洞, 临时防护方案, 绿盟科技

北京时间4月14日晚间，Shadow Brokers组织公布了此前窃取的部分方程式（Equation Group）组织的机密文件。这部分被公开的文件曾经被Shadow Brokers组织以数亿美金拍卖，因为这部分文件包含了数个令人震撼的黑客工具，用来攻击包括Windows在内的多个系统漏洞。此次泄漏的文件包括三部分：Windows, Swift以及Odd。

Microsoft Office Word漏洞分析

2017-04-14钱, 雨村0Day漏洞, McAfee FireEye, Microsoft Office Word漏洞分析, Office Word漏洞分析, RTF恶意文档, vbscript脚本, Word 漏洞, 修复措施

4月7日，McAfee与FireEye的2名研究员爆出微软（Microsoft）Office Word的一个0-day漏洞。通过发送一个带有OLE2link对象附件的邮件，用户在打开附件时，代码会执行并且连接到一个攻击者控制的远程服务器，由此来下载一个恶意的HTML 应用文件(HTA)，此HTA文件会伪装成一个微软的RTF文档。当HTA文件自动执行后，攻击者会获得执行任意代码的权限，可以下载更多的恶意软件来控制受感染用户的系统。

phpcms v9.6 Content模块SQL注入漏洞分析

2017-04-14邓永凯attachments, cookie 访问, phpcms v9.6 Content模块, SQL注入漏洞分析, 漏洞修复, 漏洞分析

最近几天圈里放出来一波phpcms的0day漏洞，这就是其中一个。此漏洞觉得很有意思，而且利用也需要好几个步骤，Payload完全可以绕过WAF检测。

【威胁通告】Linux内核二次校验计算远程代码执行漏洞

2017-04-14绿盟科技Linux 远程代码执行漏洞, Linux内核校验漏洞, Linux内核漏洞, Linux内核二次校验漏洞, Linux内核二次校验计算远程代码执行漏洞, 绿盟科技, 远程代码执行漏洞

近日，Linux内核爆出一则高危漏洞（CVE-2016-10229，CNNVD-201703-210），在Linux 4.5之前的系统内核中，当recv以MSG_PEEK标志位被调用时，攻击者可以通过UDP来触发一个不安全的二次校验和计算，以此来远程执行代码，可能导致系统被控制或者造成拒绝服务攻击。