雷神众测漏洞周报2021.06.28-2021.07.04-4

共 4129字,需浏览 9分钟

 ·

2021-07-07 19:41

声明

以下内容,均摘自于互联网,由于传播,利用此文所提供的信息而造成的任何直接或间接的后果和损失,均由使用者本人负责,雷神众测以及文章作者不承担任何责任。

雷神众测拥有该文章的修改和解释权。如欲转载或传播此文章,必须保证此文章的副本,包括版权声明等全部内容。声明雷神众测允许,不得任意修改或增减此文章内容,不得以任何方式将其用于商业目的。


目录

1. Istio凭据泄露漏洞

2. Windows 打印服务0Day漏洞风险

3. ForgeRock AM远程代码执行漏洞

4. Windows Print Spooler 远程代码执行漏洞


漏洞详情

1.Istio凭据泄露漏洞


漏洞介绍:

近日,Istio官方发布了一个可远程利用的漏洞公告,通过该漏洞可以从不同的命名空间访问Gateway和DestinationRule credentialName字段中指定的凭据(TLS证书和私钥),漏洞对应CVE编号:CVE-2021-34824。


漏洞危害:

Istio存在允许授权客户端访问和检索Istiod中缓存的TLS证书和私钥,从而导致敏感信息泄露。


漏洞编号:

CVE-2021-34824


影响范围:

Istio 1.10.0至1.10.1

Istio 1.9.0至1.9.5

Istio <= 1.8.x

Istio 定义了Gateways或DestinationRules具备访问credentialName指定字段

Istio 没有指定Istiod标志(PILOT_ENABLE_XDS_CACHE=false)


修复方案:

及时测试并升级到最新版本或升级版本


来源: 安恒信息应急响应中心

2. Windows 打印服务0Day漏洞风险


漏洞介绍:

2021年7月1日,微软提前发布Windows Print Spooler 远程代码执行漏洞(CVE-2021-34527)。


漏洞危害:

当 Windows Print Spooler 服务不正确地执行特权文件操作时,存在远程执行代码漏洞风险。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序;查看、更改或删除数据;或创建具有完全用户权限的新帐户。


漏洞编号:

CVE-2021-34527


影响范围:

包含该漏洞的代码存在于所有版本的 Windows 中,目前微软正在调查是否所有版本都可以利用


修复建议:

微软公司给出了针对该漏洞的缓解办法,目前正式补丁尚未发布。


缓解漏洞风险可参考以下步骤:


确定 Print Spooler 服务是否正在运行(以域管理员身份运行)

以域管理员身份运行以下命令:

Get-Service -Name Spooler


如果 Print Spooler 正在运行或该服务未设置为禁用,请选择以下选项之一以禁用 Print Spooler 服务,或通过组策略禁用入站远程打印:


选项 1 - 禁用 Print Spooler 服务


如果禁用 Print Spooler 服务适合您的企业,请使用以下 PowerShell 命令:

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled


注:禁用 Print Spooler 服务会禁用本地和远程打印功能。

 

选项 2 - 通过组策略禁用入站远程打印


运行组策略编辑器(Win+R,输入gpedit.msc,打开组策略编辑器),依次浏览到:计算机配置/管理模板/打印机:


禁用“允许打印后台处理程序接受客户端连接:”策略以阻止远程攻击。


变通办法的影响:

此策略将通过阻止入站远程打印操作来阻止远程攻击。该系统将不再用作打印服务器,但仍然可以本地打印到直接连接的设备。


来源:腾讯安全威胁情报中心 

3. ForgeRock AM远程代码执行漏洞


漏洞介绍:

ForgeRock AM是一个开源的访问管理、权限控制平台,在大学、社会组织中存在广泛的应用。


漏洞危害:

未经身份验证的攻击者可以通过构造特殊的请求远程执行任意代码,并接管运行ForgeRock AM的服务器。由于 ForgeRock AM本身的权限管理功能,攻击者在控制 ForgeRock AM的服务器还可以直接访问其他敏感服务,进行进一步的攻击。


漏洞编号:

CVE-2021-35464


影响范围:

ForgeRock AM 6.0.0.x

ForgeRock AM 6.5.0.x

ForgeRock AM 6.5.1

ForgeRock AM 6.5.2.x

ForgeRock AM 6.5.3


修复建议:

及时测试并升级到最新版本或升级版本


来源:360CERT

4. Windows Print Spooler 远程代码执行漏洞


漏洞介绍:

Windows Print Spooler是Windows的打印机后台处理程序,广泛的应用于各种内网中。


漏洞危害:

攻击者可以通过该漏洞绕过PfcAddPrinterDriver的安全验证,并在打印服务器中安装恶意驱动程序。若攻击者所控制的用户在域中,则攻击者可能连接到DC中的Spooler服务,并利用该漏洞在DC中安装恶意驱动程序,从而可能控制整个域环境。


漏洞编号:

CVE-2021-1675


影响范围:

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64-based Systems Service Pack 2

Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32-bit Systems Service Pack 2

Windows Server, version 2004 (Server Core installation)

Windows RT 8.1

Windows 8.1 for x64-based systems

Windows 8.1 for 32-bit systems

Windows 7 for x64-based Systems Service Pack 1

Windows 7 for 32-bit Systems Service Pack 1

Windows 10 Version 1607 for x64-based Systems

Windows 10 Version 1607 for 32-bit Systems

Windows 10 for x64-based Systems

Windows 10 for 32-bit Systems

Windows Server, version 20H2 (Server Core Installation)

Windows 10 Version 20H2 for ARM64-based Systems

Windows 10 Version 20H2 for 32-bit Systems

Windows 10 Version 20H2 for x64-based Systems

Windows 10 Version 2004 for x64-based Systems

Windows 10 Version 2004 for ARM64-based Systems

Windows 10 Version 2004 for 32-bit Systems

Windows 10 Version 21H1 for 32-bit Systems

Windows 10 Version 21H1 for ARM64-based Systems

Windows 10 Version 21H1 for x64-based Systems

Windows 10 Version 1909 for ARM64-based Systems

Windows 10 Version 1909 for x64-based Systems

Windows 10 Version 1909 for 32-bit Systems

Windows 10 Version 1809 for ARM64-based Systems

Windows 10 Version 1809 for x64-based Systems

Windows 10 Version 1809 for 32-bit Systems


修复建议:

及时测试并升级到最新版本或禁用Print Spooler服务来缓解漏洞风险


来源:腾讯安全威胁情报中心


专注渗透测试技术

全球最新网络攻击技术


END

浏览 14
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报