专栏首页绿盟科技安全情报【漏洞预警】Windows任意文件读取0day漏洞处置手册

【漏洞预警】Windows任意文件读取0day漏洞处置手册

预警编号:NS-2018-0041

2018-12-21

TAG:

Windows、0day、任意文件读取

危害等级:

高,此漏洞可导致攻击者读取任意系统文件,PoC已公开。

版本:

1.0

1

漏洞概述

近日,国外安全研究员 SandboxEscaper又一次在推特上公布了新的Windows 0 day漏洞细节及PoC。这是2018年8月开始该研究员公布的第三个windows 0 day漏洞。此次披露的漏洞可造成任意文件读取。该漏洞可允许低权限用户或恶意程序读取目标Windows主机上任意文件的内容,但不可对文件进行写入操作。在微软官方补丁发布之前,所有windows用户都将受此漏洞影响。

目前该作者的推特账号已被冻结,Github账号已被封禁,但目前该漏洞PoC已公开,请相关用户引起关注。

参考链接:

https://thehackernews.com/2018/12/windows-zero-day-exploit.html

SEE MORE →

2影响范围

所有Windows系统。

3PoC排查

用户可以使用漏洞验证工具自行排查,详细验证过程可参考下面的视频:

漏洞验证工具可到下面的链接下载:

https://cloud.nsfocus.com/api/krosa/secwarning/files/window任意文件读取漏洞排查工具.zip

4防护建议

该漏洞不能远程利用,因此想要触发该漏洞,需在目标主机上运行漏洞利用程序,截止本通告发布日期,微软官网仍未发布修复补丁,请用户及时持续关注官方的修复公告。

为防止攻击者利用该漏洞读取本地的敏感信息,请谨慎运行来源不明的文件,及时安装杀毒软件,并实时监控攻击者的入侵行为,攻击者常见的攻击手段如下图所示:

根据攻击者的常用手段,可重点关注具有以下特征的告警:

  • 若同一来源IP地址触发多条告警,若触发告警时间较短,判断可能为扫描行为,若告警事件的协议摘要中存在部分探测验证payload,则确认为漏洞扫描行为,若协议摘要中出现具有攻击性的payload,则确认为利用漏洞执行恶意代码。
  • 若告警事件为服务认证错误,且错误次数较多,认证错误间隔较小,且IP地址为同一IP地址,则判断为暴力破解事件;若错误次数较少,但超出正常认证错误频率,则判断为攻击者手工尝试弱口令。
  • 若内网监测发现木马通信告警,则认为服务器确认已被攻陷。

END

作者:绿盟科技安全服务部

声明

本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。

绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。

本文分享自微信公众号 - 绿盟科技安全预警(nsfocus_secwarning)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-12-21

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • CORS配置不当—挖掘技巧及实战案例全汇总

    CORS,即跨源资源共享(Cross-Origin Resource Sharing)。同源策略(Same OriginPolicy)要求不同源之间是无法通信的...

    Jayway
  • 用python实现接口测试(一 、使用POST和GET请求api)

    相信大家都知道,用Python来做接口测试,使用的方法很多,如POST、GET等方法请求API参数。

    用户6367961
  • SouapUI接口测试之Get和Post请求

    此篇主要介绍SoapUI工具做常用的两种请求接口测试,分别是get请求和post请求

    用户6367961
  • ERC777 功能型代币(通证)最佳实践

    想必很多同学都已经使用过ERC20 创建过代币[1],或许已经被老板要求在ERC20代币上实现一些附加功能搞的焦头烂额,如果还有选择,一定要选择 ERC777 ...

    Tiny熊
  • 认识Airflow的DAG

    前文Airflow的第一个DAG已经跑起来了我们的第一个任务. 本文就来丰富这个任务.

    Ryan-Miao
  • H5之测试方法汇总

    小程序优势之一,是可以同时在不同设备上运行,但这会带来潜在兼容性问题。这个问题对于个人开发者而言很麻烦,因为他们通常只会用自己的手机来测试小程序。当然,微信早就...

    用户6367961
  • 4-OpenResty 配置 https 访问

    https://www.cnblogs.com/yangfengwu/p/11610760.html

    杨奉武
  • python之把HTML文件转换成PDF格式文档

    网上很多支持将html转pdf格式工具,有在线的、离线的;也有免费和收费的。本篇记录下使用脚本的方式进行格式转换操作

    用户6367961
  • 信息泄露(Information Exposure)挖掘及实战案例全汇总

    信息泄露(InformationExposure)漏洞是有意或无意地向未明确授权访问该信息的行为者披露信息。信息泄露是最为常见和普遍的漏洞之一,漏洞出现的位置、...

    Jayway
  • Component之Ping

    不管用哪个OS,做过网络应用的,应该都用过ping命令吧,它通过发送ICMP的ECHO_REQUEST报文,来测试对端计算机在网络上是否可达。VxWorks当然...

    Taishan3721

扫码关注云+社区

领取腾讯云代金券