蓝军技术推送(第六弹)

2022-06-06 09:05:46 浏览数 (1)

蓝军技术推送

[文章推荐] Active Directory control: How adversaries score even bigger goals via attack paths(AD控制:如何通过攻击路径获取更大成果)

文章看点:本文总结了几种域内的攻击路径,并通过此攻击路径来获取更大成果的方法。

推送亮点:相比于上周推送通用攻击技术,本文还增加了今年六七月份twitter一直在讨论的ad证书服务的漏洞和域内比较通用的攻击方法。

原文链接:https://www.helpnetsecurity.com/2021/11/02/active-directory-control/

[漏洞播报] CVE-2021-42292、CVE-2021-42321、CVE-2021-38666、CVE-2021-42298

漏洞概述:CVE-2021-42292此漏洞是excel在打开特定的文件时执行任意代码(有可能是执行恶意的宏),CVE-2021-42321是由于exchange的command-let的参数检查验证问题导致的RCE漏洞。CVE-2021-38666这是一个微软远程桌面的客户端RCE漏洞。CVE-2021-42298是windows defender的RCE漏洞,当defender接收到恶意软件更新时,会自动连接互联网中的恶意服务器导致远程代码执行。

推送亮点:以上的漏洞都是微软今年11月9日放出的cve漏洞,同时也放出了官方补丁,其中的exchange是天府杯中的那个漏洞。目前这些漏洞的exp和poc都未公开,但是许多洞已经有在野的利用了。攻击者可以注意一下RDP的客户端漏洞,连接远程桌面时避免连接上RDP蜜罐而被反制。

原文链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42298

[安全工具] rpcfirewall

功能描述:RPC防火墙,能审计来自远程的RPC调用。

推送亮点:此工具能检测来自远程的RPC调用信息,而内网的横行移动、中继攻击、DCSync、ZeroLogon和外网的许多web服务,都是通过RPC实现的,通过在edr或者HIDS中加入RPC防火墙,可以对这些攻击事件进行检测和拦截,能帮助企业更好的监测和防御恶意攻击。(每天一个失业小技巧 (•‾̑⌣‾̑•)✧˖°)

工具链接:https://github.com/zeronetworks/rpcfirewall

0 人点赞