通达OA 系统远程执行代码漏洞报告

1. 漏洞简介通达OA团队于2020/3/13日收到部分用户反馈遭到勒索病毒攻击。为此,通达OA产品团队紧急制作了针对勒索病毒的安全加固程序。 2. 危害分析可能导致远程代码执行导致被黑客入侵:从官方发布的补丁分析,通达OA V11以下版本仅存在未授权任意文件上传漏洞;通达OA V11版本则存在未授权任意文件上传以及任意文件包含两个漏洞,攻击者可在通达OA V11版本利用两个漏洞构造组合利用链,最终在目标服务器上执行任意代码,可能会被植入勒索病毒。 3. 漏洞解析根据diff 详细解析,发现此次RCE 为一套组合拳,分别含有两个漏洞(未授权文件包含漏洞+未授权文件上传漏洞)。 首先查看文件上传漏洞 发现只要存在参数P的时候,就不会进入auth. ... 阅读全文

2020年3月13日,微软发布Win10 KB4551762补丁更新

2020年3月13日,微软发布Win10 KB4551762补丁更新,修复SMBv3协议漏洞!可通过自查工具检查是否安装了相关补丁下载地址:检测工具 KB4551762补丁修补了前期泄漏的SMBv3蠕虫级漏洞(也称为SMBGhost,EternalDarkness),用户可通过在“更新和安全”>“ Win更新”中检查更新来下载并安装重要的安全更新。 ... 阅读全文

CVE-2020-0796 Microsoft SMBv3压缩远程执行代码漏洞报告

1.  漏洞简介Microsoft SMBv3在压缩处理中包含一个漏洞,该漏洞可能允许未经身份验证的远程攻击者在易受攻击的系统上执行任意代码。 Microsoft Server Message Block 3.1.1(SMBv3)在处理使用压缩的连接的方式中包含一个漏洞。此漏洞可能允许未经身份验证的远程攻击者在易受攻击的系统上执行任意代码。 2.  漏洞影响通过使用SMBv3连接到易受攻击的Windows计算机,或通过使易受攻击的Windows系统启动与SMBv3服务器的客户端连接,远程未经身份验证的攻击者可以在易受攻击的系统上以SYSTEM特权执行任意代码。 3.  缓解措施目前尚未发现此漏洞的任何补丁,一有更新,请立即更新对应补丁信息 但是提供以下临时的缓解方案 1、使用Microsoft SMBv3压缩远程执行代码漏洞检测工具,检测系统是否存在漏洞(链接) ... 阅读全文

关于微软 Exchange 内存损坏漏洞的应急处置方案

一、问题概述Exchange介绍: Exchange Server 是微软公司的一套电子邮件服务组件,是个消息与协作系统。 简单而言,Exchange server可以被用来构架应用于企业、学校的邮件系统。Exchange是收费邮箱,但是国内微软并不直接出售Exchange邮箱,而是将Exchange、Lync、Sharepoint三款产品包装成Office365出售。Exchange server还是一个协作平台。在此基础上可以开发工作流,知识管理系统,Web系统或者是其他消息系统。 漏洞描述: 微软发布了2月份的安全更新。此次更新发布了多达99个漏洞补丁。 CVE-2020-0688是存在于 Exchange Sever 上的漏洞。攻击者可发送特殊构造的邮件, ... 阅读全文