CVE-2019-0708漏洞复现总结

2019年5月15日，Windows服务器系列发现高危CVE-2019-0708漏洞，影响系统广泛，包括Windows2003、Windows2008、Windows2008R2、WindowsXP等系统。
该漏洞通过远程桌面3389端口和RDP协议进行攻击，危害程度与永恒赎金蓝色病毒一样。
攻击者利用该漏洞无需交互即可绕过身份认证，直接通过RDP协议执行恶意代码，造成入侵和病毒感染。

漏洞复现实验环境：使用kali系统+virtualbox虚拟机搭建Windows系统。

下载Windows7Ultimate（提供链接）。

下载Windows2008R2版本（提供链接）。

下载EXP（提供链接）。

已移至msf。

在Windows7中，测试主机是否可以绘制目标计算机，并且目标计算机是否打开了端口3389。
使用msf加载cve-2019-0708模块，设置参数并运行，测试成功。
但是，当使用系统命令时，汉字会出现插值。
这是因为据报道Linux是UTF-8，而Windows是GBK。
解决方案包括一种对两个系统进行转码的方法，例如将Windows修改为utf-8。

重复出现的漏洞总结：

使用msf测试不同版本的windows系统时，设置目标参数（0-4）自动判断或指定运行环境。

测试结果发现，大部分公网设备无法顺利通过测试，这可归因于msf的payload效应。
国外安全界对这种反复出现的漏洞关注较少，而国内安全研究人员却很感兴趣。

修复建议和修复：

对于无法直接修复的Windows2008数据中心版本，您可以将远程桌面服务器权限设置为仅允许特定的身份验证方法。

阿里云安全策略允许端口限制远程访问3389，仅允许来自特定IPS的通信。

提供漏洞补丁下载邮件、系统版本及链接。

电脑高危漏洞必须修复吗？修复后电脑速度会变慢？

对于其他漏洞，建议根据情况使用腾讯电脑管家。
腾讯电脑管家修复的漏洞影响多种软硬件设备，包括操作系统本身及其配套软件、网络客户端和服务器软件、网络路由器和安全防火墙等。
也就是说：这些不同的软件和硬件设备。
不同类型的软硬件设备、同一设备的不同版本、不同设备组成的不同系统、不同设置下的同一系统都有不同的漏洞。
漏洞问题与时间密切相关。
从系统发布之日起，随着用户的频繁使用，系统中的漏洞不断被发现。
这些之前发现的漏洞也不断通过系统厂商发布或未来发布的补丁软件得到解决。
新版本系统已修正。
新版本系统在修复旧版本漏洞的同时，也引入了一些新的漏洞和bug。
因此，随着时间的推移，旧的漏洞将会不断消失，新的漏洞将会出现。
漏洞问题也将长期存在。

烽火狼烟丨Exchange多个高危漏洞的安全影响力评估

当年2021年3月3日，WebRAYBeacon实验室发现微软在一次变更中公开发布了多个高危漏洞的风险通知。
该漏洞包含三个关键组件：CVE-2021-26855（服务器端请求伪造漏洞）、CVE-2021-26857（顺序漏洞）和CVE-2021-26858/CVE-2021-27065（随机文件漏洞）。
这些漏洞对Exchange服务器的安全构成重大威胁，WebRAY强烈建议受影响的用户尽快升级到最新版本的Exchange。
CerbanaSecurity的网络空间搜索引擎对全球Exchange使用情况进行的调查发现，共有1,563,519台设备正在使用Exchange服务。
在中国，台湾以7,658台设备领先，其次是香港（6,540台）和广东省（5,773台）。
上海（5,697台设备）、北京（4,487台设备）和江苏（3,473台设备）使用该交换机的设备最多。
在使用单个服务器提供Exchange服务的情况下，攻击者必须知道目标用户的域安全标识符(SID)才能访问其邮箱。
但是，在多服务器配置中，尤其是在数据库可用性组(DAG)中配置的多服务器配置中，攻击者可以绕过SID检测步骤并轻松确定用户的电子邮件地址。
要利用此漏洞，攻击者必须获取Exchange服务器的完全限定域名(FQDN)。
通过一系列查询，攻击者只需了解外部IP地址或可公开访问的交换服务器名称列表即可提取此信息。
攻击者生成并向Exchange服务器发送特制的HTTPPOST请求，该请求会拦截发送至ExchangeWeb服务(EWS)API端点的XMLSOP负载。
通过使用特制的cookie，攻击者可以绕过身份验证并对用户邮箱执行XML中定义的基本查询。
受影响设备的用户应采取以下步骤进行安全自我评估：使用PowerShell脚本自行验证是否受到MicrosoftExchange漏洞的影响。
脚本下载地址：github.com/Naf576/Hafni.../778793721639d2c03a786aac6e363de46d152d58/check.ps1。
使用方法是：powershell-ExecutionPolicybypass-File.\ck.ps1。
微软已经提供了修复程序。
为了防止受影响的用户利用这些高漏洞他们应该尽快更新到最新的MicrosoftExchange。
高技能的攻击者不断寻找新的方法来绕过防御、破坏目标系统以及在易受攻击的MicrosoftExchange服务器上执行代码。
MicrosoftExchange中的这些漏洞并非独一无二，它们为攻击者提供了新的攻击方法，可以绕过身份验证并访问目标组织中感兴趣的电子邮件帐户。

Tomcat高危漏洞整理

作为广泛使用的Java应用服务器，Tomcat的安全漏洞引起了广泛关注。
以下是一些高危漏洞：1.Tomcat后台密码弱：该漏洞可能导致未经授权的访问，需要加强账户管理。
2、TomcatsPUT上传漏洞（CVE-2017-12615）：该漏洞允许攻击者上传对系统构成威胁的恶意文件。
预防措施包括限制PUT方法的使用或实施严格的输入验证。
3、Tomcat反序列化漏洞（CVE-2016-8735）：该漏洞允许恶意用户执行任意代码。
确保仅从可信来源接收和处理对象非常重要。
4、TomcatJMX服务器弱口令：JMX服务默认配置存在安全风险。
建议更改默认用户名和密码以提高安全性。
5.Tomcat示例目录中的会话操纵漏洞：该漏洞可能允许攻击者操纵会话信息并影响应用程序逻辑。
您应该确保会话在服务器端受到严格管理。
6.Tomcat本地权限提升漏洞（CVE-2016-1240）：不正确的配置可能会给攻击者带来额外的权限。
建议严格权限配置并定期进行安全审计。
7、Tomcatwin版本空白默认密码漏洞（CVE-2009-3548）：该漏洞允许使用暴力破解默认密码。
应立即更改默认密码，以防止未经授权的访问。
综上所述，上述漏洞均可能对Tomcat系统的安全造成威胁。
为了保护系统免受攻击，用户需要定期更新软件、进行安全审计、加强账户管理并遵循最佳实践策略，例如：示例包括限制网络访问、使用强密码和实施安全检查。
同时，关注官方公告和安全社区，获取最新漏洞信息，及时采取修复措施。