一)系统漏洞扫描结果:
cve-2012-1182
ms10-054
ms10-061
ms17-010
二)包含的漏洞的详解:
1)CVE-2012-1182(Samba 0day):
原理:Samba是在Linux及UNIX系统上实现SMB(Server Messages Block)协议的一套免费软件,由服务端及客户端程序构成,是一套可以跨平台进行 文件共享 和 打印共享服务 的程序。该漏洞允许用户从一个远程匿名链接以root用户上下文来 执行任意代码 。
产生原因:Samba的 RPC代码生成器中包含了一个错误 而导致生成的代码中存在安全漏洞(生成的代码用于控制RPC调用的解码和编码),从而导致包含数组长度的变量与为数据分配内存的变量检查不一致并可由链接的客户端所控制, 远程攻击者 可以通过 自定义一个特殊的RPC调用方式 来 以root用户上下文执行任意代码(代码包含) ,而这一过程并 不需要身份验证的链接 。
存在漏洞的版本:Samba 3.0.x至3.6.3版本ndr_pull_lsa_SidArray堆溢出漏洞(CVE-2012-1182)受影响系统:Samba Samba < 3.6.3
参考链接:Samba 0day(CVE-2012-1182)分析及利用
2)ms10-054:
原理:Microsoft SMB协议软件处理特制SMB报文的方式存在缓冲区溢出、变量验证和栈耗尽漏洞。利用这些漏洞不要求进行认证,攻击者可以通过向运行Server服务的计算机发送特制网络消息来利用这些漏洞,导致拒绝服务或完全入侵系统。
漏洞序列号: CVE-2010-2550、CVE-2010-2551、CVE-2010-2552
存在漏洞的版本:
Microsoft Windows Vista SP2
Microsoft Windows Vista SP1
Microsoft Windows Server 2008 SP2
Microsoft Windows Server 2008 R2
Microsoft Windows Server 2008
Microsoft Windows 7
漏洞解决办法:
1) 临时解决办法:在防火墙阻断TCP 139和445端口。
2) 微软补丁:微软已经为此发布了一个安全公告(MS10-054)以及相应补丁:http://www.microsoft.com/technet/security/Bulletin/MS10-054.mspx?pf=true
参考链接:MS10-054 - 严重(SMB 中的漏洞允许远程执行代码)
3)ms10-061:
原理:Windows打印后台程序没有充分限制访问该服务的用户权限,攻击者可以通过提交特制的打印请求在windows系统目录(%SystemRoot%\system32)中创建文件。攻击者可指定任意文件名,包括目录遍历,通过发送WritePrinter请求,攻击者可以完全控制创建文件的内容。将文件写入到windows系统目录后,通过WMI来部署恶意程序,因为系统会自动运行%SYstemRoot%\System32\Wbem\MOF文件夹的mof文件、执行命令。该漏洞首次被发现并应用于著名的Stuxnet蠕虫。这个洞有两个端口可以利用,139和445
存在漏洞的版本:
参考链接:
有效的实操(创建共享打印)
MS10-061 - 严重-打印后台程序服务中的漏洞可能允许远程执行代码
4)ms17-010(永恒之蓝):
原理:MS17-010是一个安全类型的补丁,它更新修复了 Microsoft Windows中的漏洞。如果攻击者向 Windows SMBv1 服务器发送特殊设计的消息,那么其中最严重的漏洞可能允许远程执行代码。
利用原理:当 Microsoft 服务器消息块 1.0 (SMBv1) 服务器处理某些请求时,存在多个远程执行代码漏洞。成功利用这些漏洞的攻击者可以获取在目标系统上执行代码的能力。为了利用此漏洞,在多数情况下,未经身份验证的攻击者可能向目标 SMBv1 服务器发送经特殊设计的数据包。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
