漏洞频繁爆发
系统或应用的安全疏漏、安全人员对利用方式的公开、黑客对 PoC 恶意散播等均有可能导致 0day
漏洞的爆发。2019 年,绿盟科技监测到网络上出现较多的 0day 漏洞公开信息,根据众多漏洞的影响面, 在此列出目前依然值得关注的几个漏洞:#### 再爆漏洞
2019 年中,Sandb
oxEscaper 再次爆出多个 Windows 0day 漏洞。在一年多的时间内,这名安全研 究员在没有给出 90 天的预备披露时间的情况下,已经披露了 9 个 Windows 0day 漏洞,且均附带 PoC。Sand
boxEscaper 披露的漏洞涉及任务计划程序、Windows Installer、Windows 错误报告服务、IE 11 等多个 Windows 组件,且多为本地提权漏洞:- Windows Task Scheduler 进程本地提权漏洞
- IE 11 沙箱逃逸漏洞
- Windows 错误报告服务本地提权漏洞(在 SandboxEscaper 发布演示 PoC 之前,微软已 2019 年 5 月安全更新中将其修复 , 漏洞编号 CVE-2019-0863.)
- 高阶本地程序调用 (ALPC) 本地提权漏洞
- Microsoft Data Sharing (dssvc.dll) 本地提权漏洞
- ReadFile 本地提权漏洞
- Windows Error Reporting (WER) system 本地提权漏洞 AngryPolarBearBug2
- Windows AppX Deployment Service (AppXSVC) 本地提权漏洞(CVE-2019-0841 绕过)
- Windows Installer 文件夹本地提权漏洞
微软官方已对其公开的漏洞进行了修复,目前暂未发现在野利用的情况。微软官方在每个月第二周 的星期二(北京时间星期三)发布当月的安全更新。用户可及时关注官方安全更新,及时安装修复补丁, 官方安全漏洞更新链接如下:
由于网络故障、操作系统环境等原因,Windows Update 补丁更新可能失败。用户在安装补丁后, 应及时检查补丁是否安装成功。
文件解析漏洞
2019 年 2 月 28 日,国外安全公司发现 Chrome 浏览器存在 0day 漏洞,可导致用户使用 Chrome 打开恶意 PDF 文件时发生信息泄露。根据监测,已发现多个针对该漏洞的在野利用样本。
此漏洞存在于 Chrome 浏览器使用的 PDF JavaScript API 中,影响所有使用 Chrome 浏览 PDF 文件 的用户,攻击者只需在 PDF 中加入一条特定 API调用,即可导致用户的 Chrome 将个人信息发送至攻 击者指定位置。
可能泄露的个人信息包括:
- 用户的公网 IP 地址;
- 操作系统版本、Chrome 版本信息;
- 用户计算机上 PDF 文件的完整路径。
攻击者利用该漏洞可进行攻击前期的信息搜集,以实施下一步有针对性的攻击。如通过 PDF 文件 完整路径,攻击者可获取主机有效目录,再结合上述 WinRAR代码执行漏洞,构造恶意文件释放到特定 用户名下的自启动目录,可能会造成更大的威胁。
目前 Chrome 74.0.3729.108 及以上版本已对此漏洞进行修复,建议相关用户及时升级 Chrome 至 最新版本以确保终端安全性。
同时,绿盟科技网络入侵防护系统(IPS)已具有此漏洞的防护能力,部署有该设备的用户可升级 规则库至最新,实现对该漏洞的有效防护。
参考链接:
Fastjson 是阿里巴巴的开源 JSON 解析库,它可以解析 JSON 格式的字符串,支持将 Java Bean 序 列化为 JSON 字符串,也可以从 JSON 字符串反序列化到 JavaBean,由于具有执行效率高的特点,应 用范围广泛。
2019 年 7 月,Fastjson 出现高危远程代码执行漏洞,该漏洞是 Fastjson 于 2017 年爆出的远程代 码执行漏洞新的绕过利用方式,攻击者可通过此漏洞远程执行恶意代码来获取目标主机权限。官方发布 1.2.58 版本,以补充 autoType 黑名单的方式对此漏洞进行了临时修复。
2019 年 9 月,官方添加的 autoType 黑名单限制在一些特定场景下被绕过,目前官方已发布新版本 对 autoType 黑名单进行优化。不需要使用 autoType 的用户只需保持 autoType 处于关闭状态,并升级 Fastjson 至 1.2.60 版本,即可防护此漏洞。
针对该漏洞的检测与防护可参考以下链接:
国内商用软件安全状况堪忧
2019 年中开始,国内商用软件漏洞频繁爆发。多家厂商被爆出存在远程代码执行、SQL注入、未 授权访问等高风险漏洞,使得这些软件成为攻击者对企业攻击的入口。商用软件的安全问题引起了安全 研究人员的重视。
从国家信息安全漏洞共享平台(CNVD)收录的漏洞情况来看,2019 年国内商用软件漏洞收录数量 明显增多。尤其 2019 年后半年,个别厂商漏洞数量呈激增型增长。
2016年 2017年 2018年 2019年 
某OA 甲 
某OA 乙 某OA 丙 
某OA 丁 
某邮件系统
图 3.4 CNVD 国内厂商漏洞收录情况
安全人员的漏洞研究可以更好的协助厂商发现自身产品的安全问题。在对产品漏洞进行研究、修复 的过程中,也间接提升了商业软件用户的安全防护能力。
反序列化漏洞补丁绕过
WebLogic 是 Oracle 公司出品,基于 J2EE 架构的中间件,是用于开发、集成、部署和管理大型分 布式 Web 应用、网络应用和数据库应用的 Java 应用服务器。拥有可扩展、快速开发、部署灵活、安全 可靠等优点,被开发人员广泛应用。
根据绿盟科技威胁情报中心(NTI)统计结果,全球范围内对互联网开放 WebLogic 服务的资产数 量多达 19229 个,其中归属中国地区的资产数量为 1787 个。
WebLogic 在 2015 年被发现第一个 Java 反序列化漏洞,漏洞编号为 CVE-2015-4852, 存在 于 Apache Commons Collections 基 础 库 的 TransformedMap 类 中, 通 过 反 序 列 化 恶 意 构 造 的 TransformedMap 对象,攻击者可执行任意命令。WebLogic 官方采用阻止恶意反序列化的黑名单方式, 修复了此漏洞(CVE-2015-4852)。自此,WebLogic 踏上了反反复复的漏洞修补和补丁被绕过之路。
图 3.5 WebLogic Java 反序列化漏洞发展史
2019 年 4 月 17 日,国家信息安全漏洞共享平台(CNVD)发布了关于 WebLogic 反序列化远程代 码执行漏洞(CNVD-C-2019-48814)的安全通告。WebLogic Java 反序列化远程代码执行漏洞再一次 引起安全研究人员的关注,此次分配的 CVE编号为 CVE-2019-2725,此漏洞存在于 WebLogic 自带的 wls9_async_response 及 wls-wsat 组件中,由于在反序列化处理输入信息的过程中存在缺陷,未经授 权的攻击者可以发送精心构造的恶意 HTTP 请求,获取服务器权限,实现远程代码执行。官方于 4 月 27 日针对此漏洞发布了补丁,再次以黑名单的方式对漏洞进行修复。
2019 年 6 月 15 日,网上爆出 CVE-2019-2729 修复补丁的绕过方式。攻击者通过构造特定的 HTTP 请求,绕过 WebLogic 在四月份发布针对 CVE-2019-2725 补丁的黑名单策略,并远程执行命令。官方 于 6 月 19 日发布了修复补丁。
2019 年 10 月,Oracle 官方在 CPU 中修复了 WebLogic 反序列化漏洞(CVE-2019-2890),该漏洞 绕过了 WebLogic 当时已有的黑名单限制,使攻击者可以通过 T3 协议对 WebLogic 组件实施远程攻击。
至此,WebLogic Java 反序列化漏洞的修补史暂时告一段落,但由于官方仍以黑名单的方式修复漏洞, 不排除还会出现补丁被绕过风险。目前 WebLogic 反序列化漏洞经常被攻击者用于虚拟挖矿、勒索软件 的传播,相关用户需及时关注官方补丁更新情况。
WebLogic 反序列化漏洞检测及防护方案可参考以下链接:
- WebLogic T3 协议相关漏洞
结语
在企业安全建设过程中,加强漏洞管理并有效运营是不可或缺的重要环节。除了日常对业务系统通 过安全测试、代码审计发现漏洞外,企业运营过程中使用的软件、服务、系统的自身通用漏洞同样也需 要重点关注。
在此我们给出几条漏洞管理的建议:
- 建立企业内的漏洞风险等级体系:从影响面(是否为核心业务系统)、危害性(利用难度、造成危害) 等维度对漏洞进行定级,并对不同等级漏洞制定相应的处置响应时间。
- 制定漏洞处置流程:在发现漏洞并完成定级后,分发至对应负责人员进行漏洞修复,并定期跟 进漏洞修复情况,对无法按时修复的漏洞进行说明。(部分漏洞修复方案可能会对业务造成影响, 对于重要业务系统,在正式实施修复方案前,需对业务影响情况进行评估,建议先在测试环境 中完成修复。)
- 建立企业内部漏洞知识库:收录已处置的漏洞信息,记录漏洞修复过程,便于事后查阅及回退。
554
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
