进程与服务的签名_赛门铁克(Symantec)任意代码执行漏洞,可冒用签名执行,白名单绕过以及提权。...

于 2020-12-13 19:37:31 发布
阅读量686 收藏
点赞数
文章标签: 进程与服务的签名
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39541767/article/details/111360476
版权

赛门铁克(Symantec)集团是世界上最大的安全公司。

守护安全的安全软件出了重大安全漏洞,一种老司机开翻车的feel。

ab35a34a7411a0dd150de1c968b1b963.png

#介绍

SafeBreach 实验室发现了赛门铁克终端安全这个漏洞(Symantec Endpoint Protection)(CVE-2019-12758)

利用这个漏洞,可以绕过赛门铁克的自我防护机制,还能实现防御规避、维持权限以及提权。方法是通过加载任意未签名的dll到赛门铁克签名运行的进程里面(这个进程是以NT AUTHORITY\SYSTEM权限运行)。

注:为了利用这个漏洞,攻击者需要有管理员权限。

#赛门铁克终端安全(Symantec Endpoint Protection)

赛门铁克终端安全是指一组安全软件套件,包括服务器版本以及桌面电脑版本,组成功能模块部分包括反病毒、入侵防护以及防火墙。由赛门铁克公司开发并在终端安全市场中拥有最大的市场份额。

这个软件中的很多部分都是以Windows服务的形式运行,这些服务以"NT AUTHORITY\SYSTEM"权限运行,这给程序提供了非常强力的权限支持。

在这篇文章,我们先描述上述的漏洞,然后展示如何利用这个漏洞在赛门铁克服务上下文里,达成执行任意命

最低0.47元/天 解锁文章
weixin_39541767
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【技术分享】赛门铁克邮件网关重置密码漏洞
weixin_47208161的博客
08-02 491
编号CVE-2018-12242漏洞简介赛门铁克邮件网关10.6.6之前的所有版本,开启了重置密码功能(默认开启),可以伪造用户身份直接登录前后台。漏洞详情分析赛门铁克也是纸老虎,此类邮...
使用Symantec代码签名证书对代码进行签名的 5 个理由
cio_liuguilan的博客
04-25 493
借助 Symantec Code Signing,在更多平台上将您的代码提供给更多客户,我们总结了5大理由告诉软件开发者在发布自己的软件时一定要购买Symantec 代码签名证书签名即将发布的软件。 1. 可支持更多平台,让您最大限度地提高软件分发量,从而提供您的收入 两大趋势使代码签名比以往更重要: 一是移动和桌面设备个人用户应用程序呈爆炸性增长,二是恶意软件激增。越来越多的软件发行商和
最近写了一个恶意软件,成功绕过symantec和360,庆祝一下
Danny TechSpace
09-26 965
最近对恶意软件的实现产生了浓厚的兴趣,进行了一段时间的钻研,搞出了一个小程序,直接能进入ring0层,并且永驻底层,解开symantec的hook,欺骗杀毒软件,然后偷偷的去指定地点下载东东,并且运行之),看来杀毒软件都是纸老虎啊,他们能做到极致的也无非是hook最关键的api,然后在操作系统中抢先一步运行起来,这两点能搞定,那他们也就和我们平起平坐了呵呵  等到合适时
赛门铁克公司太不厚道
jackyrongvip的专栏
05-23 1100
赛门铁克公司太不厚道了,出了这样的事,昨天还打电话(我们公司没用NORTON),那位推销小姐居然还想推销他们的产品,结果我反问:"你们出了这样的大事,还推销你们产品呀",她只好挂电话了,出了事情,不是好好地去补救,还大张期鼓地这样推销,真是少见,不厚道
symantec 误_Symantec端点漏洞咨询
culin0274的博客
08-11 114
symantec 误A new security vulnerability has been found within Symantec and Norton Anti-virus core code that potentially allows an attacker to take full control over the target machine. 在Symantec和Norto...
Symantec清除工具 CleanWipe_14.2.5323.2000版本
07-05
只能卸载14.2.5323.2000版本的或者比它低版本的赛门铁克,高于此版本的赛门铁克用户请勿下载,否则会浪费下载积分和卸载失败
赛门铁克Symantec 版本14.3.4615.2000卸载工具CleanWipe
07-18
赛门铁克Symantec是全球知名的网络安全软件与服务提供商,其产品涵盖了众多领域,包括防病毒、数据保护、安全网关等。在系统管理、威胁防护和信息安全方面有着深厚的技术积累。CleanWipe是赛门铁克提供的一款专用...
Symantec卸载工具CleanWipe_14_2_RU1_MP1.zip
08-13
解决删赛门铁克后的注册表残留。类似症状包括:出现右击提示找不到VpshellRes,右键单击总提示vpshellres.dll。使用Symantec卸载工具CleanWipe可以清除赛门铁克卸载后的残留。
Symantec_Endpoint_Protection_14.3.0_MP1_Full_Installation_CS
01-06
SEPM 14.3最新版本
赛门铁克Symantec14.x和12.x
06-23
赛门铁克Symantec14.x和12.x各版本都有,按实际情况安装即可
Symantec进程详细查看工具
10-16
非常好用的windows进程查看工具,每个进程的后台调用程序一目了然,支持win7。
停止symantec命令
10-31
停止symantec命令,就是有时候我们需要把symantec服务关掉就可以使用这个命令来实现。
一键停止Symantec服务加一键开启Symantec服务
03-11
处于安全考虑,公司的Symantec(赛门铁克)把U盘口禁掉,禁止员工使用U盘传输数据,但是好多员工不是恶意的,只想拷贝点资料。通过此批处理文件可以一键停止Symantec服务、一键开启Symantec服务,方便使用
symantec SMC服务无法启动解决办法
07-04
symantec SMC服务无法启动解决办法
签名
prince8087的博客
09-19 214
我们知道,如果一个应用程序想要使用系统的方法,那么就需要给这个应用程序签名,相当于授权。 给程序进行platform、media、shared签名的方法分别如下: (1)platform签名: AndroidManifest.xml的manifest节点中添加 android:sharedUserId=”android.uid.system”, Android.mk中增加  LOCAL_CERTI...
进程服务签名_苹果app签名需要注意哪几点
weixin_39805998的博客
12-09 105
现在部分的智能手机系统设备和工作一个应用软件,都需求证书的签名认证。经任何签名的程序是不能在智能手机上设备和工作的。验证签名的底子进程则:智能手机操作系统或软件渠道对收到的原始数据选用相同的杂凑运算得到消息摘要,将与被签署时分的消息摘要进行比照,以校验原始数据是否被篡改。Iphone中的签名限准则是比较高的。全部iPhone应用程序在iPhone OS设备上工作之前必须用合法的https://d...
利用赛门铁克漏洞渗透整个企业网络
Coisini的博客
06-15 924
1.引言 赛门铁克端点保护Symantec Endpoint Protection (SEP) 12.1的存在数个高危漏洞!一旦攻击者拿下了管理端,得到了管理员的权限,那么他就可以重新部署安装升级包,把木马藏进安装包,推送至客户端执行,从而拿下整个企业网络。目前只有升级到12.1 RU6 MP1的版本不被影响。 简单介绍一下,SEP 是一个企业版的杀毒产品,分为管理端和客户端。管理端是提供web...
P4wnP1 USB与赛门铁克反病毒绕过
systemino的博客
05-10 1407
最近,我使用P4wnP1 image把我手头的Raspberry Pi Zero W转换成了一个bad USB。我的最终目标是运行远程命令shell,同时绕过已启用完全保护的最新版Symantec SEP。我通过创建自己的有效负载payload,可以轻松的运行远程shell,但由于Symantec提供的高级功能SONAR和IPS检测技术使其难以执行。想要解决这个问题并不难,你只需对payload进...
优化备份执行Symantec Backup Exec与Quantum DXi-Series最佳实践
"Config_Best Practices_Backup Exec from Symantec_DXi-Series" 指南是针对拥有Quantum DXi-Series系统(包括DXi4000、DXi6000和DXi8000系列)并使用Symantec Backup Exec的客户的一份实用指南。该文档旨在帮助用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值