蓝军技术推送（第六弹）

蓝军技术推送

[文章推荐] Active Directory control: How adversaries score even bigger goals via attack paths（AD控制：如何通过攻击路径获取更大成果）

文章看点：本文总结了几种域内的攻击路径，并通过此攻击路径来获取更大成果的方法。

推送亮点：相比于上周推送通用攻击技术，本文还增加了今年六七月份twitter一直在讨论的ad证书服务的漏洞和域内比较通用的攻击方法。

原文链接：https://www.helpnetsecurity.com/2021/11/02/active-directory-control/

[漏洞播报] CVE-2021-42292、CVE-2021-42321、CVE-2021-38666、CVE-2021-42298

漏洞概述：CVE-2021-42292此漏洞是excel在打开特定的文件时执行任意代码（有可能是执行恶意的宏），CVE-2021-42321是由于exchange的command-let的参数检查验证问题导致的RCE漏洞。CVE-2021-38666这是一个微软远程桌面的客户端RCE漏洞。CVE-2021-42298是windows defender的RCE漏洞，当defender接收到恶意软件更新时，会自动连接互联网中的恶意服务器导致远程代码执行。

推送亮点：以上的漏洞都是微软今年11月9日放出的cve漏洞，同时也放出了官方补丁，其中的exchange是天府杯中的那个漏洞。目前这些漏洞的exp和poc都未公开，但是许多洞已经有在野的利用了。攻击者可以注意一下RDP的客户端漏洞，连接远程桌面时避免连接上RDP蜜罐而被反制。

原文链接：https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-42298

[安全工具] rpcfirewall

功能描述：RPC防火墙，能审计来自远程的RPC调用。

推送亮点：此工具能检测来自远程的RPC调用信息，而内网的横行移动、中继攻击、DCSync、ZeroLogon和外网的许多web服务，都是通过RPC实现的，通过在edr或者HIDS中加入RPC防火墙，可以对这些攻击事件进行检测和拦截，能帮助企业更好的监测和防御恶意攻击。（每天一个失业小技巧 (•‾̑⌣‾̑•)✧˖°）

工具链接：https://github.com/zeronetworks/rpcfirewall