蓝队防守必须排查的17个内网安全漏洞与解决方案
共 10103字,需浏览 21分钟
·
2021-03-23 18:00
近日安全漏洞频发,在上次发布的《蓝队防守必须排查的57个安全漏洞与解决方案》(点击链接自动跳转)下方有留言提到想看内网安全漏洞与解决方案总结,小编在此收集了近期大家会比较关注的内网漏洞和解决方案,做个总结,供大家查漏补缺,若有缺失,欢迎留言补充。
目录
CVE-2020-0796 SMBGhost漏洞
CVE-2019-0708又名 BlueKeep
CVE-2017-7494(MS17-010)永恒之蓝
CVE-2016-0128(MS16-047) Microsoft Windows SAM/LSAD协议降级漏洞
CVE-2016-3225(MS16-075) Windows SMB 服务器特权提升漏洞
CVE-2014-6324(MS14-068)Kerberos域用户提权漏洞
CVE-2015-0005 Microsoft NETLOGon欺骗漏洞
CVE-2019-1040 Windows NTLM篡改漏洞
CVE-2019-1384 Microsoft Windows安全功能绕过漏洞
CVE-2018-8581 Microsoft Exchange Server 远程特权升级漏洞
CVE-2016-5195脏牛漏洞
CVE-2019-0708 远程桌面服务远程执行代码
redis未授权访问
FastCGI
Shellshock
微软NTLM协议
域渗透:黄金票据利用
01
CVE-2020-0796 SMBGhost漏洞
a
漏洞分析
CVE-2020-0796(SMBGhost漏洞)是由于Server Message Block 3.0(SMBv3)协议在处理恶意的压缩数据包时出错所造成的,它可以让远程且未经身份认证的攻击这在目标系统上执行任意代码。
b
影响范围
适用于32位系统的Windows 10版本1903
Windows 10 1903版(用于基于ARM64的系统)
Windows 10 1903版(用于基于x64的系统)
适用于32位系统的Windows 10版本1909
Windows 10 1909版(用于基于ARM64的系统)
Windows 10版本1909(用于基于x64的系统)
Windows Server 1903版(服务器核心安装)
Windows Server版本1909(服务器核心安装)
c
修复建议
1、升级系统,打补丁。
2、软微官方提供的临时解决方法;禁用SMB的压缩功能
3、封堵SMB通信端口445
d
来源
https://msrc.microsoft.com/update-guide/vulnerability/ADV200005
02
CVE-2019-0708 又名 BlueKeep
a
漏洞分析
当未经身份验证的攻击者使用RDP连接到目标系统并发送特制请求时,远程桌面服务(以前称为终端服务)中将存在一个远程执行代码漏洞。此漏洞是预先认证的,不需要用户交互。成功利用此漏洞的攻击者可以在目标系统上执行任意代码。然后,攻击者可能会安装程序。查看,更改或删除数据;或创建具有完全用户权限的新帐户。
b
影响范围
Windows XP
Windows Vista
Windows 7
Windows Server 2003
Windows Server 2008
Windows Server 2008 R2
容易受到此攻击
低于7的版本(例如Windows 8和Windows 10)
不受影响
c
修复建议
1.在运行Windows 7,Windows Server 2008和Windows Server 2008 R2的受支持版本的系统上启用网络级别身份验证(NLA)。
您可以启用网络级别身份验证以阻止未经身份验证的攻击者利用此漏洞。启用NLA后,攻击者首先需要使用目标系统上的有效帐户对远程桌面服务进行身份验证,然后才能利用此漏洞。
2.在企业外围防火墙处阻止TCP端口3389
TCP端口3389用于启动与受影响组件的连接。在网络外围防火墙处阻止此端口将有助于保护该防火墙后面的系统免受尝试利用此漏洞的尝试。这可以帮助保护网络免受源自企业外围的攻击。在企业范围内阻塞受影响的端口是帮助避免基于Internet的攻击的最佳防御方法。但是,系统仍可能容易受到企业范围内的攻击。
d
来源
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2019-0708
03
CVE-2017-7494(MS17-010)
永恒之蓝
a
漏洞分析
永恒之蓝是指2017年4月14日晚,黑客团体Shadow Brokers(影子经纪人)公布一大批网络攻击工具,其中包含“永恒之蓝”工具,“永恒之蓝”利用Windows系统的SMB漏洞可以获取系统最高权限。恶意代码会扫描开放445文件共享端口的Windows机器,无需用户任何操作,只要开机上网,不法分子就能在电脑和服务器中植入勒索软件、远程控制木马、虚拟货币挖矿机等恶意程序。
b
影响范围
Windows Vista
Windows 7
Windows 8.1
Windows RT 8.1
Windows 10
Windows Server 2008和Windows Server 2008 R2
Windows Server 2012和Windows Server 2012 R2
Windows Server 2016
c
修复建议
微软已于2017 年 发布MS17-010补丁,修复了“永恒之蓝”攻击的系统漏洞,一定要及时更新Windows系统补丁;务必不要轻易打开doc、rtf等后缀的附件;内网中存在使用相同账号、密码情况的机器请尽快修改密码,未开机的电脑请确认口令修改完毕、补丁安装完成后再进行联网操作,可以下载“永恒之蓝”漏洞修复工具进行漏洞修复。
1、下载补丁地址(根据自己的系统版本在上图中查找补丁编号)
http://www.catalog.update.microsoft.com/search.aspx?q=补丁编号
2、添加入站规则,关闭445、135、137、138、139端口。
d
来源
https://blog.csdn.net/weixin_42540999/article/details/108111088
https://blog.csdn.net/u010050174/article/details/81179097
04
CVE-2016-0128(MS16-047)Microsoft
Windows SAM/LSAD协议降级漏洞
a
漏洞分析
当安全帐户管理器(SAM)和本地安全机构(域策略)(LSAD)远程协议接受不能充分保护这些协议的身份验证级别时,它们中将存在一个特权提升漏洞。该漏洞是由SAM和LSAD远程协议建立远程过程调用(RPC)通道的方式引起的。成功利用此漏洞的攻击者可以访问SAM数据库。
b
影响范围
Windows Vista
Windows Server 2008
Windows 7
Windows Server 2008 R2
Windows 8.1
Windows Server 2012
Windows Server 2012 R2
Windows RT 8.1
Windows 10
c
修复建议
1.Windows更新
此更新可通过Windows Update获得。当您打开自动更新时,将自动下载并安装此更新。有关如何打开自动更新的更多信息,请参阅自动获取安全更新。
2.Microsoft下载中心
您可以通过Microsoft下载中心获取独立更新程序包。按照下载页面上的安装说明安装更新。
单击Microsoft安全公告MS16-047中与您正在运行的Windows版本相对应的下载链接。
d
来源
https://docs.microsoft.com/en-us/security-updates/securitybulletins/2016/ms16-047
05
CVE-2016-3225(MS16-075)
Windows SMB 服务器特权提升漏洞
a
漏洞分析
当攻击者者转发适用于在同一计算机上运行的其他服务的身份验证请求时,Microsoft 服务器消息块 (SMB) 中存在特权提升漏洞,成功利用此漏洞的攻击者可以使用提升的特权执行任意代码。若要利用此漏洞,攻击者首先必须登录系统。然后,攻击者可以运行一个为利用此漏洞而经特殊设计的应用程序,从而控制受影响的系统。
b
影响范围
Windows Vista,2008、7、2008 R2、2012、8.1,RT 8.1、2012 R2和10
c
修复建议
官方下载补丁
d
来源
https://docs.microsoft.com/en-us/security-updates/SecurityBulletins/2016/ms16-075
06
CVE-2014-6324(MS14-068)
Kerberos域用户提权漏洞
a
漏洞分析
用户在向 Kerberos 密钥分发中心(KDC)申请TGT(由票据授权服务产生的身份凭证)时,可以伪造自己的 Kerberos 票据。如果票据声明自己有域管理员权限,而KDC在处理该票据时未验证票据的签名,那么,返给用户的TGT就使普通域用户拥有了域管理员权限。该用户可以将TGT发送到KDC,KDC的TGS(票据授权服务)在验证了TGT后,将服务票据(Server Ticket)发送给该用户,而该用户拥有访问该服务的权限,从而使攻击者可以访问域内的资源。
b
影响范围
所有 Windows 服务器都会收到该漏洞影响。包括 Windows Server 2003、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012 和 Windows Server 2012 R2。
c
修复建议
开启 Windows update 功能,进行自动更新 手动下载补丁包进行修复:
https://technet.microsoft.com/library/security/ms14-068
对域内账号进行控制,禁止使用弱口令、定期修改密码 在服务器上安装杀毒软件,及时更新病毒库。
d
来源
https://cloud.tencent.com/developer/article/1760132
07
CVE-2015-0005
Microsoft NETLOGon欺骗漏洞
a
漏洞分析
配置域控制器后,Microsoft Windows Server 2003 SP2,Windows Server 2008 SP2和R2 SP1,Windows Server 2012 Gold和R2中的NETLOGON服务允许远程攻击者欺骗安全通道终结点的计算机名称,并获得敏感信息。通过运行精心设计的应用程序并利用嗅探网络流量(也称为“ NETLOGON欺骗漏洞”)的能力来获得会话信息。
b
影响范围
Microsoft Windows Server 2003 SP2,Windows Server 2008 SP2和R2 SP1,Windows Server 2012 Gold和R2。
c
修复建议
官方下载补丁
d
来源
https://nvd.nist.gov/vuln/detail/CVE-2015-0005
08
CVE-2019-1040
Windows NTLM篡改漏洞
a
漏洞分析
该漏洞存在于Windows大部分版本中,攻击者可以利用该漏洞可绕过NTLM MIC的防护机制,结合其他漏洞和机制,某些场景下可以导致域内的普通用户直接获取对于域控服务器的控制。利用此漏洞获取内网的控制变得非常可行,堪称内网大杀器,形成现实的巨大威胁。
b
影响范围
Windows 7 sp1 至Windows 10 1903
Windows Server 2008 至Windows Server 2019
c
修复建议
微软官方已推出更新补丁,请在所有受影响的 Windows 客户端、服务器下载安装更新并重启计算机。
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1040
此漏洞存在多种不同的利用方案,强烈建议通过安装官方补丁的方式对此漏洞进行完全修复。如无法实现在所有服务器上安装该补丁,请优先保证在重要的服务器(如所有的域控制器、所有的 Exchange 服务器)上安装该补丁。
对于无法安装补丁的服务器,可通过以下加固措施对此漏洞的某些利用方式进行适当缓解。注意,这些加固措施并没有修复漏洞,只是针对该漏洞可能存在的一些利用方式进行缓解。这些缓解措施有可能被高级别的攻击者绕过。
d
来源
https://www.anquanke.com/post/id/180379/
09
CVE-2019-1384
Microsoft Windows安全功能绕过漏洞
a
漏洞分析
Microsoft Windows是流行的计算机操作系统。NETLOGON 消息能够获取会话密钥并签名消息时,存在安全功能绕过漏洞。若要利用此漏洞,攻击者可以发送经特殊设计的身份验证请求。成功利用此漏洞的攻击者可以使用原始用户权限访问另一台计算机。
b
影响范围
Microsoft Windows Server 2019
Microsoft Windows Server 2016
Microsoft Windows Server 2012
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2008
Microsoft Windows RT 8.1
Microsoft Windows 8.1
Microsoft Windows 7
c
修复建议
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1384
d
来源
http://www.nsfocus.net/vulndb/45069
10
CVE-2018-8581 Microsoft Exchange
Server 远程特权升级漏洞
a
漏洞分析
Microsoft Exchange Server 是个消息与协作系统。Exchange Server可以被用来构架应用于企业、学校的邮件系统或免费邮件系统。在Microsoft Exchange Server中存在一个特权提升漏洞,该漏洞允许任何经过身份验证的用户冒充Exchange Server上的其他任意用户。漏洞产生的原因是由于在Exchange Server中使用NTLM身份验证时存在特定缺陷,服务器产生的NTLM响应可以反射回攻击者服务器,导致攻击者可以验证任意的EWS(Exchange Web服务)请求。
b
影响范围
Microsoft Exchange Server 2019
Microsoft Exchange Server 2016
Microsoft Exchange Server 2013
Microsoft Exchange Server 2010
c
修复建议
Microsoft在2018年11月发布了补丁,但该补丁仅对该漏洞进行了缓解,并没有进行严格意义上的修复。不过Microsoft发布的公告指出,在此后Exchange累计更新中,将不会再默认启动这一注册表项。
d
来源
https://paper.seebug.org/804/
11
CVE-2016-5195 脏牛漏洞
a
漏洞分析
Linux内核的内存子系统在处理写时拷贝(Copy-on-Write)时存在条件竞争漏洞,导致可以破坏私有只读内存映射。一个低权限的本地用户能够利用此漏洞获取其他只读内存映射的写权限,有可能进一步导致提权漏洞。
b
影响范围
Linux内核>=2.6.22
c
修复建议
已修复,官方下载补丁
d
来源
https://www.anquanke.com/post/id/84772
12
CVE-2019-0708
远程桌面服务远程执行代码
a
漏洞分析
该漏洞会影响某些较旧版本的Windows。远程桌面协议(RDP)本身不容易受到攻击。此漏洞是预先认证的,不需要用户交互。换句话说,该漏洞是“可蠕虫的”,这意味着利用此漏洞的任何未来恶意软件都可能以与WannaCry 恶意软件在2017年遍布全球的方式相似的方式从易受攻击的计算机传播到易受攻击的计算机。此漏洞,恶意行为者很可能会编写此漏洞的利用程序并将其合并到他们的恶意软件中。
b
影响范围
Windows 7
Windows Server 2008
Windows Server 2008 R2
Windows 2003
Windows XP
c
修复建议
对于 Windows 7 及 Windows Server 2008 的用户,及时安装 Windows 发布的安全更新。
对于 Windows 2003 及 Windows XP 的用户,及时更新系统版本。
临时危害减轻措施:开启网络身份验证(NLA)。请注意如果攻击者拥有合法的网络身份,依然可以绕过该身份验证,利用漏洞攻击目标主机。
d
来源
https://paper.seebug.org/937/
13
redis未授权访问
a
漏洞分析
redis是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、 Key-Value数据库。和Memcached类似,它支持存储的value 类型相对更多,包括 string(字符串)、list ( 链表)、 set(集合)、zset(sorted set – 有序集合)和 hash(哈希类型)。
Redis因配置不当可以导致未授权访问,被攻击者恶意利用。当前流行的针对Redis未授权访问的一种新型攻击方式,在特定条件下,如果Redis以root身份运行,黑客可以给root账户写入SSH公钥文件,直接通过SSH登录受害服务器,可导致服务器权限被获取和数据删除、泄露或加密勒索事件发生,严重危害业务正常服务。部分服务器上的Redis 绑定在 0.0.0.0:6379,并且没有开启认证(这是Redis 的默认配置),以及该端口可以通过公网直接访问,如果没有采用相关的策略,比如添加防火墙规则避免其他非信任来源 ip 访问等,将会导致 Redis 服务直接暴露在公网上,可能造成其他用户可以直接在非授权情况下直接访问Redis服务并进行相关操作。
b
影响版本
Redis 2.x,3.x,4.x,5.x
c
修复建议
1.禁止一些高危命令
2.以低权限运行Redis服务(重启redis才能生效)
3.为redis添加密码验证(重启redis才能生效)
4.禁止外网访问redis(重启redis才能生效)
5.修改默认端口
6.保证authorized_keys文件的安全
7.设置防火墙策略
d
来源
https://www.freebuf.com/column/158065.html
14
FastCGI
a
漏洞分析
Fastcgi是一个通信协议,和HTTP协议一样,都是进行数据交换的一个通道。HTTP协议是浏览器和服务器中间件进行数据交换的协议,浏览器将HTTP头和HTTP体用某个规则组装成数据包,以TCP的方式发送到服务器中间件,服务器中间件按照规则将数据包解码,并按要求拿到用户需要的数据,再以HTTP协议的规则打包返回给服务器。WebServer Fastcgi配置不当,会造成其他文件(例如css,js,jpg等静态文件)被当成php脚本解析执行。当用户将恶意脚本webshell改为静态文件上传到webserver传递给后端php解析执行后,会让攻击者获得服务器的操作权限。
b
修复建议
至今解决方案配置webserver关闭cgi.fix_pathinfo为0 或者 配置webserver过滤特殊的php文件路径
c
来源
https://blog.csdn.net/romeoyue/article/details/54287550
15
Shellshock
a
漏洞分析
Shellshock,又称Bashdoor,是在Unix中广泛使用的Bash shell中的一个安全漏洞,首次于2014年9月24日公开。许多互联网守护进程,如网页服务器,使用bash来处理某些命令,从而允许攻击者在易受攻击的Bash版本上执行任意代码。这可使攻击者在未授权的情况下访问计算机系统。
b
影响范围
小于等于4.1版本的Bash
c
修复建议
IBM发布了一个补丁来解决这个问题。
d
来源
https://blog.csdn.net/pygain/article/details/53969081
16
微软NTLM协议
a
漏洞分析
近日Preempt研究小组发现了两个关键的微软漏洞,这两个漏洞都和三个NTLM中的逻辑漏洞有关,这些漏洞允许攻击者在任何Windows计算机上远程执行恶意代码,或对支持Windows集成身份验证(WIA)的任何web服务器(如Exchange或ADFS)进行身份验证。根据测试,目前所有Windows 版本都会受到这两个漏洞的影响。更糟糕的是,这两个漏洞可绕过微软此前已部署的所有安全保护措施。
b
影响版本
所有Windows 版本
c
修复建议
执行修补程序:确保为工作站和服务器打上了所需的补丁,要注意,单独的补丁是不够的,公司还需要进行配置更改,以便得到完全的保护。
强制SMB签名:为了防止攻击者发起更简单的NTLM RELAY攻击,请务必在网络中的所有计算机上启用SMB 签名。
禁用NTLMv1:该版本相当不安全,建议通过适当的组策略来完全禁用。
强制LDAP/S签名:为了防止LDAP中的NTLM RELAY攻击,在域控制器上强制LDAP签名和LDAPS通道绑定。
强制实施EPA:为了防止NTLM在web服务器上被黑客用来发动中继攻击,强制所有web服务器只接受EPA的请求。
减少NTLM的使用:因为即便采用了完整的安全配置,NTLM 也会比Kerberos 带来更大的安全隐患,建议在不必要的环境中彻底弃用。
d
来源
https://www.jiamisoft.com/blog/24705-ntlm.html
17
域渗透:黄金票据利用
a
漏洞分析
白银票据是对域认证中的ticket做了手脚,如果有了TGT的话,我们就可以去请求服务的ticket,其实也是可以进行利用的,黄金票据就是在这个情况下利用的。黄金票据有2个特点:一是需要与DC通信,二是需要krbtgt的hash。
黄金票据“欺骗”了当前域的管理权限,当KRBTGT帐户密码哈希显示在作为多域AD的林一部分的子域中时存在此局限性。因为是根(root)域包含全森林管理组Enterprise Admins。由于Mimikatz通过相对标识符(RID)向票据添加了组成员资格,因此Kerberos票据中的519(企业管理)RID在其创建的域中(基于KRBTGT帐户域)被标识为本地。如果通过获取域SID和附加RID创建的域安全标识符(SID)不存在,那么Kerberos票据的持有者不会收到该级别的访问权限。换句话说,在一个多域AD森林中,如果创建的Golden Ticket域不包含Enterprise Admins组,则Golden Ticket不会向林中的其他域提供管理权限。在单个域Active Directory林中,由于Enterprise Admins组驻留在此域中,这时创建Golden Ticket不存在局限性。
b
修复建议
当krbtgt用户的hash被拿到后,攻击者可以在域中进行持久性的隐藏,并且日志是无法进行溯源的,只有经常更新krbtgt用户的密码,才能使原有的票据失效。
c
来源
https://blog.csdn.net/qq_18501087/article/details/102831053
雷神众测
专注渗透测试技术
全球最新网络攻击技术