事件概述 近日,安全研究人员SandboxEscaper在GitHub上发布了针对Windows 10的5个零日漏洞的演示利用代码。 代码分别是: Windows错误报告 Windows任务计划 Windows安装程序 IE11沙箱逃离 Windows AppX部署服务 其中除一、五俩个零日漏洞外,其他三个都是在2018年就已爆出。 漏洞详情 Windows错误报告零日 1.      利用条件: 可以通过精心放置的DACL(自主访问控制列表)操作来利用: 当我们触发报告队列任务时,WER服务将尝试删除两个文件。它会为这两个文件写一个DACL,以确保SYSTEM对它们进行“删除”。这种方式的工作方式分为两步: a. 调用GetFileSecurity并获取安全描述 b. 向安全描述符添加了一些内容,因此具有SYSTEM删除权限,然后使用SetFileSecurity将其写回文件 它还关闭两个函数调用之间的文件句柄,这意味着如果在两个函数调用之间我们生成一个硬链接,它将首先从正常文件获取安全描述符,用户可以写入该文件。 然后,它将复制这些权限,并将此安全描述符应用于指向完全不同文件的硬链接。 成功的运行将如下所示: 您可以在QuerySecurityFile之后和SetSecurityFile之前看到正在创建的硬链接。可以使用IDA查看(wer.dll)并确认。很明显遭受攻击的功能是:UtilAddAccessToPath 2.      重现步骤: a. 将AngryPolarBearBug.exe和report.wer复制到同一文件夹中 b. 运行AngryPolarBearBug.exe 此漏洞由于触发条件难以把控导致成功几率较低(触发错误可能需要15分钟,如果花了太长时间,需要关闭程序,清理缓存数据文件夹),并且早些时候已被修复。 Windows任务计划零日 1.    利用条件 Windows10有两个tasks文件夹: a.    C:\ Windows\tasks b.    C:\Windows\SYSTEM32\tasks 第一个是由于历史遗留问题保留使用。第二个被win10任务调度程序使用。在过去(即windows xp),任务 “.job”文件格式将放在”c:\ windows \tasks”中。 如果在Windows 10上要将.job文件导入任务计划程序,则必须将旧的“.job“文件先复制到”c:\ windows\tasks”中,并使用从旧系统复制的schtasks.exe和schedsvc.dll运行以下命令: schtasks /change /TN”taskname” /RU username /RP password” 这将导致调用RPC“_SchRpcRegisterTask”,它由任务调度程序服务公开。触发这个错误,可以直接调用这个函数,而不是必须要从windows xp复制schtasks.exe。 它首先在当前用户权限下运行,但是当它遇到以下功能时: int ...

来自波兰的安全研究人员Dawid Golunski刚刚发现了两个MySQL的0-day漏洞,影响到所有版本分支、默认配置的MySQL服务器(5.7、5.6和5.5),包括最新版本。攻击者可以远程和本地利用漏洞。攻击者成功利用漏洞后,可以ROOT权限执行代码,完全控制MySQL数据库。攻击者仅需有FILE权限即可实现ROOT提权,进而控制服务器。 漏洞编号: CVE-2016-6662与CVE-2016-6663 漏洞影响: MySQL  <= 5.7.15       远程代码执行/ 提权 (0day) 5.6.33 5.5.52 MySQL分支亦受影响,包括: MariaDB PerconaDB 漏洞介绍: CVE-2016-6662漏洞可令来自远程或本地的攻击者,往MySQL设置文件(my.cnf)中注入自定义的数据库设置。该问题仅影响到默认设置下的MySQL服务器,从漏洞利用步骤来看,在数据库重启后即可触发。通常在系统更新、包更新等操作期间,数据库服务器都会重启。 认证访问MySQL数据库(通过网络连接或者如phpMyAdmin一类web界面),以及SQL注入都可作为漏洞利用方式——尤其SQL注入增加了该漏洞的风险。攻击者成功利用漏洞后,就能以root权限执行任意代码,并达到完全控制MySQL服务器的目的。 CVE-2016-6663漏洞尚未公开,实际上这是CVE-2016-6662的一个变体——同样是在root权限下进行远程代码执行(据说甚至不需要有FILE权限)。 修复方案: MariaDB和PerconaDB已经发布补丁修复漏洞,Oracle方面则需要等到下一波推送的10月关键补丁更新,具体时间是10月18日。 Golunski另外也提供了临时缓解漏洞危害的方法: “用户应该确保,MySQL配置文件不在mysql用户手中,并建立root权限、不使用的、伪装的my.cnf文件。” 但这仅是变通方案,用户应在补丁发布后立即更新。 POC链接:http://legalhackers.com/advisories/MySQL-Exploit-Remote-Root-Code-Execution-Privesc-CVE-2016-6662.html 有关为何Oracle要到10月修复漏洞的问题: Oracle应该算是家严格遵守安全更新计划的企业,他们发布安全更新的频率是每3个月1次——上一次Oracle关键补丁更新是在7月19日。Golunski表示,他向Oracle上报这两个漏洞的时间是7月29日,Oracle方面已经了解到该漏洞的存在性,预计将在10月18日发布关键补丁更新。 Golunski表示:“PerconaDB和MariaDB都已经在8月30日修复这两个漏洞…自上报问题以来,已经超过40天时间,补丁也已经公开,所以我决定公开漏洞(带部分PoC),在Oracle发布下一波关键补丁更新之前,也能够起到警示用户有关其风险性的作用。” 不过Golunski也明确表示,这只是缓解方案。MySQL用户应该在厂商发布补丁之后就立刻应用补丁。 ...

Michael Cobb:自上世纪90年代,攻击者就已经开始利用XSS漏洞,并且,最主要的网站(例如谷歌、雅虎和Facebook)都在一定程度上受到过XSS漏洞的影响。与大多数应用层攻击(例如SQL注入),基于XSS的攻击会攻击应用的用户,而不是应用或服务器。这些攻击的工作原理是注入代码(通常例如JavaScript客户端脚本)到Web应用的输出。大部分网站有很多注入点,包括搜索域、cookies和表格。虽然这些恶意脚本不能直接感染服务器端信息,它们仍然可以破坏网站的安全性。通过使用Document Object Model操作来更改表格值,改变网页的外观或切换表格操作以张贴提交的数据到攻击者的网站,攻击者可以窃取数据、控制用户的会话、运行恶意代码或用作网络钓鱼欺诈的一部分。 XSSI是XSS的一种形式,它利用了这样一个事实,即浏览器不会阻止网页加载图像和文字等资源,这些资源通常托管在其他域和服务器。例如,脚本可能提供攻击者需要的功能,帮助创建特定的页面—很多网站包含托管在https://developers.google.com/speed/libraries/#jquery的JavaScript库jQuery。然而,这种包含可能被利用来从一个域名读取用户数据—当用户正在访问另一个域名时。例如,如果ABC银行有一个脚本用于读取用户的私人账户信息,攻击者可以在其自己的恶意网站包含这个脚本,当ABC银行的客户访问攻击者的网站时,攻击者就可以从ABC银行的服务器提取用户信息。 开发者可以部署多种措施来抵御XSSI攻击。其中一种方法是向用户提供独特的不可预测的授权令牌,在服务器响应任何请求之前,需要发送回该令牌作为额外的HTTP参数。脚本应该只能响应POST请求,这可以防止授权令牌作为GET请求中的URL参数被暴露,同时,这可以防止脚本通过脚本标签被加载。浏览器可能会重新发出GET请求,这可能会导致一个操作会执行一次以上,而重新发出的POST请求需要用户的同意。 在处理JSON请求时,在响应中增加非可执行前缀,例如“\n”,以确保脚本不可执行。在相同域名运行的脚本可以读取响应内容以及删除前缀,但在其他域名运行的脚本则不能。此外,开发者还应该避免使用JSONP(具有填充功能的JSON)来从不同域名加载机密数据,因为这会允许钓鱼网站收集数据。同时,发送响应表头“X-Content-Type-Options: nosniff”也将帮助保护IE和谷歌Chrome用户免受XSSI攻击。 为了应对XSS攻击,可在HTTP Content-Type响应表头或者HTML代码中meta标签中http-equiv属性中指定CHARSET,让浏览器不会解译其他字符集的特殊字符编码。对于使用ASP.NET开发网站的开发者,微软Anti-Cross Site Scripting Library可以帮助保护Web应用抵御跨站脚本漏洞。 现在有很多开源漏洞扫描工具可供开发者使用,以测试其代码是否容易遭受XSS攻击,例如Vega、Wapiti、OWASP的Zed Attack Proxy和Skipfish。企业应该定期对网站进行扫描,同时,在底层代码变更或依靠第三方库的功能集成到各种网页时,也应该扫描网站。 读完此文,大家应该知道两者的区别在哪了。 ...

 在零信任安全(zero trust security)的物理实施环境下,数据流通过一个集中式安全设备传输。零信任安全其实是一种安全模式,在这种模式下,任何用户、接口或应用程序在默认情况下都不“可信”。但由于单一设备需要过滤所有的数据流,零信任安全策略很难灵活地扩展。不过,当工作负载和网络基于虚拟化或云计算时,环境却可以灵活扩展。 在数据中心中,微分隔(micro-segmentation)让零信任安全可以得到大规模地运用,而微分隔是基于虚拟机管理程序的网络覆盖机制的一个副产品。据风险投资公司Battery Ventures的技术研究员、Netflix前云计算架构师Adrian Cockcroft声称,就云服务而言,微分隔常常是固有的。下面看一下各种虚拟化和云计算平台里面的微分隔和零信任安全功能。 VMware NSX VMware的网络虚拟化平台NSX可以过滤进出虚拟机管理程序的任何数据流。这项功能带来了零信任安全机制。VMware利用NSX的分布式防火墙具有的可扩展性,在不同主机上的虚拟机之间形成零信任安全。还可以在同一个逻辑第2层广播网络上的主机之间建立安全策略。 VMware的方法是抽取物理零信任安全,同时利用基于虚拟机管理程序的网络覆盖系统具有的分布式特性。管理员可以在集成式管理系统中制定规则,这些规则可以跨分布式防火墙设备来执行。结果就是,集中管理的解决方案可以灵活扩展,支持每个虚拟机管理程序为两位数Gbps的数据流。 ...

如今,IT决策者面临的压力比以往任何时候都要大,需要交付满足公司员工、合作伙伴和客户预期目标的IT解决方案,这些人日益要求在其最新的设备上运行创新的应用程序。实际上,如今CIO们有必要将IT视作其核心竞争力的一个关键要素,而不仅仅是一块需要加以管理的成本——不过牢牢控制成本是永恒不变的要求。 这时候,云计算就有了用武之地。IT部门日益依赖云计算,作为交付其员工几乎立即需要的服务的一种方式,同时降低成本、尽量减小复杂性。正是由于能够按照需要扩增或减少计算资源,同时缩短配置所需IT资源要花的时间,开发运营(DevOps)团队得以迅速构建和发布新的应用程序和服务,然后第二天用同样的资源做全然不同的事务。 这是表现卓越的公司已经在利用云计算转变其业务经营方式的主要原因之一。云让它们得以迅速发布新的产品和服务,从而让它们能够更高效地运营,改善客户和员工的体验,并且更有效地展开竞争。 与许多热门词汇一样,“云”可能需要一番澄清,因为有不同类型的云:公有云,多个用户或多家组织之间共享;私有云,由某一家组织独家享用;以及混合云,它结合了公有云资源和私有云资源,以优化成本和灵活性,同时支持必要的安全和控制。 公有云一向是为企业内部的IT设定预期目标的驱动因素。许多企业用户青睐公有云的易用性、弹性和按使用核计成本的模式。然而,出于安全、合规和成本控制方面的考虑,你又无法完全采用公有云方法,而是需要考虑构建私有云,或者充分利用混合云,以满足自己的具体要求。 这种方法在研究公司Penn Schoen Berland(PSB)为阿尔卡特-朗讯公司完成的一项近期调查中得到了证实;调查发现,五分之三的大企业已经在使用某种云计算。绝大多数(74%)在采用私有云。与此同时,IT决策者们声称,向云计算迁移是对其组织在今天和未来会带来最大影响的IT议题。 在我们采访的大企业(从金融服务机构到医疗服务机构)中,一个共同的主题是:它们之所以部署了私有云,是由于虽然它们想充分利用云,但是由于隐私和合规方面的担忧,可以存储以及应该存储在公有云中的数据类型却备受关注。 比如说,PSB的研究发现,只有一小部分的医疗服务机构(12%)将病人健康记录存储在公有云或私有云中;而将客户财务记录存储在公有云/混合云环境中的金融服务公司比例就更少了(10%)。在这两个细分市场,保护客户数据是首要问题。 话虽如此,采用私有云不足以满足每一家公司的具体要求。安全方面的需求仍然存在,不过针对不大敏感的数据充分利用混合云或公有云的灵活性及/或满足不断变化的需要也很重要。 网络安全在云环境下颇具挑战性,那是由于架构是动态的;那样一来,固定不变的安全措施显得颇为笨拙、成本高昂。与此同时,黑客们更加狡猾,日益发动可能持续数月之久的持续性攻击,企图攻陷网络和云。不过,尽管存在这些问题,安全和合规在部署的云环境中仍可以得到加强。 一些软件定义的网络(SDN)方法可以为处于网络第一个连接点的虚拟机和应用程序落实安全。另外,细粒度的策略控制机制让你可以满足部门、网络、应用程序、容器或虚拟机的特定安全要求。 我们常常没有认识到云计算等新潮流给网络、乃至整个IT带来的影响(包括好的影响和坏的影响)。为了充分发挥云计算的好处,IT基础设施和方法必须继续不断完善,以化解由此带来的风险。 好消息就是,据PSB声称,英国35%的大企业和美国30%的大企业将会在云服务方面投入额外的IT预算,这意味着采用云计算的愿望和资源确确实实存在。 英文:Overcoming Cloud Security Challenges ...