人妻少妇精品久久久久久蜜臀av,久久综合激激的五月天,日韩精品无码专区免费播放,欧美精品999

sharepointworkspace(sharepointworkspace搜索協(xié)議處理)

前沿拓展:


對(duì)于所有的0day,定制的惡意軟件和其他完全未知的安全漏洞,它們已經(jīng)存在多年并被廣泛利用。為了更好地表明這一點(diǎn),美國(guó)聯(lián)邦調(diào)查局(FBI)、美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施**(CISA)、澳大利亞網(wǎng)絡(luò)安全中心(ACSC)和英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)發(fā)布了聯(lián)合網(wǎng)絡(luò)安全咨詢。在這份報(bào)告中,他們列出了2020年和2021年使用的30大漏洞。

盡管軟件供應(yīng)商和開(kāi)發(fā)人員盡了最大努力,但其中許多漏洞已經(jīng)存在多年。如Microsoft 的Print Spooler中的“PrintNightmare”漏洞表明,僅僅因?yàn)槟承┦虑橐阎⒉灰馕吨苋菀妆唤鉀Q。

Accellion

在查看此列表時(shí)請(qǐng)記住,本文中的每個(gè)漏洞在某些時(shí)候都被認(rèn)為是“關(guān)鍵的”,而且它們都被廣泛使用。因此,所有這些的主要結(jié)論是,如果你正在使用這里列出的產(chǎn)品,請(qǐng)確保立即打補(bǔ)丁。

這里提到的FTA服務(wù)器主要用于傳輸非常大的文件。該程序自2018年以來(lái)一直處于更新?tīng)顟B(tài),已經(jīng)更新了20多年。自 2021年4月30日起,該程序被視為生命周期結(jié)束,由他們的Kiteworks軟件接管。上述四個(gè)漏洞都在同一個(gè)包中公布,每個(gè)都是不同的漏洞類型。

Qualys 是受此漏洞影響的知名組織之一,其DMZ中的FTA服務(wù)器遭到破壞。

Atlassian

Confluence服務(wù)器是一個(gè)wiki風(fēng)格的協(xié)作環(huán)境。通過(guò)在易受攻擊的軟件版本中利用“小部件連接器宏”,惡意用戶將能夠?yàn)g覽服務(wù)器上的目錄、部署模板并實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

這一特殊漏洞已被用于部署加密貨幣挖掘軟件和勒索軟件。

Crowd和Crowd Data Center都是身份管理系統(tǒng),提供單點(diǎn)登錄服務(wù),可以通過(guò)一個(gè)**提供商幫助跨多個(gè)平臺(tái)進(jìn)行身份驗(yàn)證。這些程序的產(chǎn)品版本默認(rèn)情況下錯(cuò)誤地啟用了一個(gè)名為pdkinstall的開(kāi)發(fā)插件。通過(guò)這個(gè)漏洞,惡意用戶可以安裝他們的插件,從而創(chuàng)建遠(yuǎn)程代碼執(zhí)行場(chǎng)景。

Citrix

在2019冠狀**病(COVID-19)大流行期間,人們迅速轉(zhuǎn)向遠(yuǎn)程工作,在許多情況下,這是意外的。這意味著許多組織在未完全配置的狀態(tài)下部署了可能未經(jīng)測(cè)試的遠(yuǎn)程訪問(wèn)系統(tǒng)。因此,這一漏洞是2020年被利用最多的漏洞。

卡內(nèi)基梅隆大學(xué)(Carnegie Mellon University)的研究人員能夠證明,該軟件不限制訪問(wèn)名為“Virtual Private Network”的目錄中的特定腳本部分,該目錄可以通過(guò)目錄遍歷訪問(wèn)。一旦它們?cè)谶@個(gè)目錄中,它們就可以執(zhí)行其設(shè)計(jì)的遠(yuǎn)程代碼執(zhí)行。

Drupal

Drupal被許多人用作網(wǎng)站和wiki的內(nèi)容管理系統(tǒng) (CMS)。該漏洞涉及 Drupal 請(qǐng)求參數(shù)的方式。根據(jù)Tenable的說(shuō)法,惡意用戶可以使用它來(lái)將有效負(fù)載部署到系統(tǒng)而無(wú)需輸入滅菌,因?yàn)樗邮軘?shù)組中的參數(shù)。

有可能同時(shí)利用應(yīng)用程序和主機(jī)**作系統(tǒng)。盡管問(wèn)題很嚴(yán)重,但仍有許多未打補(bǔ)丁的系統(tǒng),盡管自 2018 年年中以來(lái)已有補(bǔ)丁可用。

可以同時(shí)利用應(yīng)用程序和主機(jī)**作系統(tǒng)。盡管這個(gè)問(wèn)題很嚴(yán)重,而且自2018年年中以來(lái)已經(jīng)有了補(bǔ)丁,但仍然有許多系統(tǒng)沒(méi)有補(bǔ)丁。

F5

BIG-IP提供負(fù)載均衡、防火墻功能和DNS服務(wù)。通過(guò)該漏洞,惡意用戶將能夠訪問(wèn)應(yīng)用程序的配置功能,以及他們選擇的運(yùn)行代碼。

然而,像許多其他配置工具一樣,只允許從特定的ip訪問(wèn)上層控制提供了一個(gè)快速的解決方案。與此同時(shí),啟用了**修復(fù)——這一點(diǎn)對(duì)于多個(gè)供應(yīng)商來(lái)說(shuō)非常重要。

Fortinet

與上面報(bào)道的Citrix的原因類似,F(xiàn)ortinet的SSL Virtual Private Network產(chǎn)品在2020年的使用出現(xiàn)爆炸式增長(zhǎng),使其成為攻擊者非常誘人的目標(biāo)。所有這三個(gè)問(wèn)題都圍繞著遠(yuǎn)程訪問(wèn)提供。

2018年漏洞允許惡意用戶從 FortiOS 門戶網(wǎng)站移動(dòng)到包含系統(tǒng)文件的目錄,但不一定要上傳自己的。雖然這聽(tīng)起來(lái)不一定像其他一些漏洞那么糟糕,但據(jù)認(rèn)為這一發(fā)現(xiàn)的研究人員稱,它允許“預(yù)授權(quán)任意文件讀取”,或者更具體地說(shuō),他們可能會(huì)讀取密碼數(shù)據(jù)庫(kù)和其他敏感數(shù)據(jù)。

2019年漏洞可能允許同一本地子網(wǎng)的用戶模擬LDAP身份驗(yàn)證服務(wù)器,并可能獲取敏感數(shù)據(jù)?;ヂ?lián)網(wǎng)安全與研究集團(tuán)(Internet Security and Research Group)詹姆斯·倫肯(James Renken)是該漏洞的發(fā)現(xiàn)者之一,他重申,如果在多個(gè)地點(diǎn)使用被盜的憑證,訪問(wèn)可能會(huì)迅速傳播。

2020年漏洞,如果用戶更改用戶名的大小寫,可能允許用戶繞過(guò)雙因素認(rèn)證要求。例如,如果惡意用戶利用2018漏洞獲取證書(shū),他們就可以利用該漏洞獲得完全訪問(wèn)權(quán),而不需要2FA令牌。

Microsoft

Microsoft 的 Windows **作系統(tǒng)、Office 生產(chǎn)力軟件、Sharepoint 內(nèi)容管理系統(tǒng)和 Exchange 電子郵件服務(wù)器產(chǎn)品為許多企業(yè)提供支持。 2017 Office漏洞允許惡意用戶將文件分發(fā)給合法用戶,第二在Office 套件程序或**的寫字板應(yīng)用程序中打開(kāi)該文件。一旦用戶打開(kāi)文件,惡意用戶希望的任何代碼都將以登錄用戶的權(quán)限運(yùn)行。這在概念上與 2019 Sharepoint 漏洞非常相似,其中代碼可以作為 Sharepoint 應(yīng)用程序池和服務(wù)器場(chǎng)帳戶的憑據(jù)運(yùn)行。

后臺(tái)智能傳輸服務(wù) (BITS)為Windows提供了大量的更新功能。利用這個(gè)漏洞,已經(jīng)可以訪問(wèn)系統(tǒng)的惡意用戶可以提升他們的權(quán)限來(lái)控制整個(gè)本地計(jì)算機(jī)。

Netlogon允許對(duì)屬于Microsoft的Active Directory域結(jié)構(gòu)的用戶和計(jì)算機(jī)進(jìn)行身份驗(yàn)證。利用該漏洞可能允許某人冒充域控制器并可能獲得域管理員權(quán)限。

2020 Exchange 漏洞是由 Exchange 2019 中的 Exchange 控制面板 Web 應(yīng)用程序問(wèn)題引起的。該問(wèn)題與加密密鑰有關(guān),特別是它在安裝時(shí)不會(huì)生成新密鑰。如果惡意用戶有權(quán)訪問(wèn)默認(rèn)密鑰,他們可能會(huì)導(dǎo)致 Exchange 解密其數(shù)據(jù)。這可以創(chuàng)建一個(gè)遠(yuǎn)程代碼執(zhí)行系統(tǒng)-服務(wù)器上的最高權(quán)限級(jí)別。

另一方面,2021年的Exchange漏洞是攻擊鏈的一部分。根據(jù)微軟公司客戶安全和信任副總裁Tom Burt的博客文章,該攻擊包含三個(gè)步驟:“第一,它會(huì)通過(guò)竊取的密碼或利用之前未發(fā)現(xiàn)的漏洞將自己偽裝成有權(quán)訪問(wèn)的人。第三,它會(huì)創(chuàng)建所謂的web shell 來(lái)遠(yuǎn)程控制受感染的服務(wù)器。最后,它會(huì)使用遠(yuǎn)程訪問(wèn)?!?/p>

MobileIron

MobileIron 提供了許多處理移動(dòng)設(shè)備管理的服務(wù)。Devcore 的 Orange Tsai 再次在 MobileIron Core產(chǎn)品中發(fā)現(xiàn)了一個(gè)漏洞,該漏洞可能允許惡意用戶在未經(jīng)身份驗(yàn)證的情況下執(zhí)行其代碼。

Pulse Secure

Pulse Secure的Connect Secure是SSL Virtual Private Network的一種形式,我們已經(jīng)在這個(gè)列表中多次看到。2019年漏洞可能允許未經(jīng)身份驗(yàn)證的用戶讀取通過(guò)Virtual Private Network傳輸?shù)奈募?,獲得對(duì)純文本憑證的訪問(wèn),并在客戶端連接到Virtual Private Network服務(wù)器時(shí)執(zhí)行命令。

2021漏洞可能允許未經(jīng)身份驗(yàn)證的用戶通過(guò)根級(jí)訪問(wèn)在Virtual Private Network**本身上運(yùn)行他們的代碼。

Telerik

Telerik的ASP.NET AJAX UI允許快速創(chuàng)建和部署Web表單。此漏洞在概念上類似于Exchange解密漏洞。如果惡意用戶可以通過(guò)其他漏洞或其他方式訪問(wèn)加密密鑰,他們就可以在服務(wù)器上運(yùn)行自己的代碼。

VMWare

VMWare允許在主機(jī)**作系統(tǒng)之上運(yùn)行虛擬機(jī),vSphere 是它們的主要管理界面。第一個(gè)漏洞是由于默認(rèn)啟用的插件上沒(méi)有輸入驗(yàn)證。因此,用戶可以在主機(jī)**作系統(tǒng)上運(yùn)行他們的代碼。第二個(gè)漏洞也涉及插件,但不同的是,在不需要驗(yàn)證的情況下,它允許用戶執(zhí)行受影響的插件通??梢詧?zhí)行的任何**作。

拓展知識(shí):

sharepointworks

還做OFFICE辦公軟件.

sharepointworks

所有產(chǎn)品
提供您的語(yǔ)言版本的所有可下載的產(chǎn)品列表。

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 其他
A
ActiMates
ActiveSync
ADO.NET
返回頁(yè)首

B
BackOffice **all Business Server
BizTalk Server
Business Solutions
Business Solutions Axtapa
返回頁(yè)首

C
COM+
Commerce Server
Content Management Server(內(nèi)容管理服務(wù)器)
Cordless Wheel Mouse(**旋貂)
Creature House
返回頁(yè)首

D
Developer Tools
DirectX
返回頁(yè)首

E
Electronic Forms Designer(電子表單設(shè)計(jì)程序)
Excel
Exchange
返回頁(yè)首

F
FoxPro
FrontPage
返回頁(yè)首

G
Games & Xbox
返回頁(yè)首

I
IEAK
IIS
IntelliMouse(智能鼠標(biāo))
Internet Explorer
Internet Keyboard(微軟網(wǎng)絡(luò)鍵盤)
Internet Security and Acceleration Server
返回頁(yè)首

J
Java Language Conversion Assistant
Jet Database Engine
返回頁(yè)首

L
Longhorn
返回頁(yè)首

M
Management Console(管理控制臺(tái))
Microsoft Active Server Pages
Microsoft Antigen
Microsoft ASP.NET
Microsoft Dynamics CRM
Microsoft Dynamics for **ytics
Microsoft Dynamics for Field Service Management
Microsoft Dynamics for Financial Management
Microsoft Dynamics for Human Resource Management
Microsoft Dynamics for Project Management and Accounting
Microsoft Dynamics for Supply Chain Management
Microsoft Expression
Microsoft Forefront
Microsoft Hyper-V
Microsoft Licensing
Microsoft Mail
Microsoft Office Business Scorecard Manager
Microsoft Office Communications Server
Microsoft Office Communications Server
Microsoft Office Communicator
Microsoft Office Groove
Microsoft Office Live Meeting
Microsoft Office PerformancePoint Server
Microsoft Office Project
Microsoft Office SharePoint Designer
Microsoft Office technologies
Microsoft OLE
Microsoft Open Database Connectivity
Microsoft Platform Software Development Kit
Microsoft Press
Microsoft publications
Microsoft Silverlight
Microsoft SQL Server Reporting Services
Microsoft SQL Server technologies
Microsoft Student with Encarta Premium
Microsoft System Center
Microsoft System Center Data Protection Manager
Microsoft Virtual PC
Microsoft Virtual Server
Microsoft Windows CE toolkits
Microsoft Windows Millennium Edition
Microsoft Windows Script
Microsoft Windows SharePoint Services
Microsoft XML Core Services
Microsoft.com
MSDN
MSN
MSN Explorer
MSN Messenger Service
MSN Toolbar
MultiMedia Keyboard
返回頁(yè)首

N
Natural Keyboard(微軟自然鍵盤)
NetMeeting
NetShow
返回頁(yè)首

O
Office
Office
Office InfoPath
Office OneNote
Office PowerPoint
Office XP
Office 助手
Operations Manager(**作管理器)
OS/2 Presentation Manager
Outlook
返回頁(yè)首

P
Pocket PC Software
Proofing Tools(校驗(yàn)工具)
Publisher
返回頁(yè)首

S
Schedule+
security
Servers
SharePoint
Site Server
**all Business Server
**artphone 軟件
SQL Server
Systems Management Server
返回頁(yè)首

T
Trackball(軌跡球)
返回頁(yè)首

U
** Assault
返回頁(yè)首

V
Virtual Machine for Java
Visio
Visual Basic
Visual C# .NET
Visual C++
Visual FoxPro
Visual InterDev
Visual J# .NET
Visual J++
Visual SourceSafe
Visual Studio
返回頁(yè)首

W
Web services
Windows
Windows 2000
Windows 95
Windows 98
Windows CE .NET
Windows CE Handheld PC
Windows CE Platform Builder
Windows CE 掌上電腦軟件
Windows Data Access Components
Windows Defender
Windows Embedded
Windows Essential Business Server
Windows for Pocket PC
Windows Home Server
Windows Live
Windows Media
Windows Messenger
Windows Mobile
Windows Mobile
Windows Movie Maker for Windows XP
Windows NT
Windows Server
Windows Vista
Windows XP
Windows XP Media Center Edition
Windows XP Tablet PC Edition
Windows 安裝服務(wù)
Windows 設(shè)備開(kāi)發(fā)工具包
Windows 增補(bǔ)驅(qū)動(dòng)程序庫(kù)
Windows-based Terminal
Wireless Desktop
Word
Works
返回頁(yè)首

X
Xbox
返回頁(yè)首

其他
.NET
**程序
**服務(wù)器
電話
訪問(wèn)
光學(xué)鼠標(biāo)
滾輪鼠標(biāo)
宏匯編程序
書(shū)架
鼠標(biāo)
索引服務(wù)器
**滾輪鼠標(biāo)
返回頁(yè)首

參考資料:
http://www.microsoft.com/downloads/Products.aspx?displaylang=zh-cn

前沿拓展:


對(duì)于所有的0day,定制的惡意軟件和其他完全未知的安全漏洞,它們已經(jīng)存在多年并被廣泛利用。為了更好地表明這一點(diǎn),美國(guó)聯(lián)邦調(diào)查局(FBI)、美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施**(CISA)、澳大利亞網(wǎng)絡(luò)安全中心(ACSC)和英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)發(fā)布了聯(lián)合網(wǎng)絡(luò)安全咨詢。在這份報(bào)告中,他們列出了2020年和2021年使用的30大漏洞。

盡管軟件供應(yīng)商和開(kāi)發(fā)人員盡了最大努力,但其中許多漏洞已經(jīng)存在多年。如Microsoft 的Print Spooler中的“PrintNightmare”漏洞表明,僅僅因?yàn)槟承┦虑橐阎⒉灰馕吨苋菀妆唤鉀Q。

Accellion

在查看此列表時(shí)請(qǐng)記住,本文中的每個(gè)漏洞在某些時(shí)候都被認(rèn)為是“關(guān)鍵的”,而且它們都被廣泛使用。因此,所有這些的主要結(jié)論是,如果你正在使用這里列出的產(chǎn)品,請(qǐng)確保立即打補(bǔ)丁。

這里提到的FTA服務(wù)器主要用于傳輸非常大的文件。該程序自2018年以來(lái)一直處于更新?tīng)顟B(tài),已經(jīng)更新了20多年。自 2021年4月30日起,該程序被視為生命周期結(jié)束,由他們的Kiteworks軟件接管。上述四個(gè)漏洞都在同一個(gè)包中公布,每個(gè)都是不同的漏洞類型。

Qualys 是受此漏洞影響的知名組織之一,其DMZ中的FTA服務(wù)器遭到破壞。

Atlassian

Confluence服務(wù)器是一個(gè)wiki風(fēng)格的協(xié)作環(huán)境。通過(guò)在易受攻擊的軟件版本中利用“小部件連接器宏”,惡意用戶將能夠?yàn)g覽服務(wù)器上的目錄、部署模板并實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

這一特殊漏洞已被用于部署加密貨幣挖掘軟件和勒索軟件。

Crowd和Crowd Data Center都是身份管理系統(tǒng),提供單點(diǎn)登錄服務(wù),可以通過(guò)一個(gè)**提供商幫助跨多個(gè)平臺(tái)進(jìn)行身份驗(yàn)證。這些程序的產(chǎn)品版本默認(rèn)情況下錯(cuò)誤地啟用了一個(gè)名為pdkinstall的開(kāi)發(fā)插件。通過(guò)這個(gè)漏洞,惡意用戶可以安裝他們的插件,從而創(chuàng)建遠(yuǎn)程代碼執(zhí)行場(chǎng)景。

Citrix

在2019冠狀**病(COVID-19)大流行期間,人們迅速轉(zhuǎn)向遠(yuǎn)程工作,在許多情況下,這是意外的。這意味著許多組織在未完全配置的狀態(tài)下部署了可能未經(jīng)測(cè)試的遠(yuǎn)程訪問(wèn)系統(tǒng)。因此,這一漏洞是2020年被利用最多的漏洞。

卡內(nèi)基梅隆大學(xué)(Carnegie Mellon University)的研究人員能夠證明,該軟件不限制訪問(wèn)名為“Virtual Private Network”的目錄中的特定腳本部分,該目錄可以通過(guò)目錄遍歷訪問(wèn)。一旦它們?cè)谶@個(gè)目錄中,它們就可以執(zhí)行其設(shè)計(jì)的遠(yuǎn)程代碼執(zhí)行。

Drupal

Drupal被許多人用作網(wǎng)站和wiki的內(nèi)容管理系統(tǒng) (CMS)。該漏洞涉及 Drupal 請(qǐng)求參數(shù)的方式。根據(jù)Tenable的說(shuō)法,惡意用戶可以使用它來(lái)將有效負(fù)載部署到系統(tǒng)而無(wú)需輸入滅菌,因?yàn)樗邮軘?shù)組中的參數(shù)。

有可能同時(shí)利用應(yīng)用程序和主機(jī)**作系統(tǒng)。盡管問(wèn)題很嚴(yán)重,但仍有許多未打補(bǔ)丁的系統(tǒng),盡管自 2018 年年中以來(lái)已有補(bǔ)丁可用。

可以同時(shí)利用應(yīng)用程序和主機(jī)**作系統(tǒng)。盡管這個(gè)問(wèn)題很嚴(yán)重,而且自2018年年中以來(lái)已經(jīng)有了補(bǔ)丁,但仍然有許多系統(tǒng)沒(méi)有補(bǔ)丁。

F5

BIG-IP提供負(fù)載均衡、防火墻功能和DNS服務(wù)。通過(guò)該漏洞,惡意用戶將能夠訪問(wèn)應(yīng)用程序的配置功能,以及他們選擇的運(yùn)行代碼。

然而,像許多其他配置工具一樣,只允許從特定的ip訪問(wèn)上層控制提供了一個(gè)快速的解決方案。與此同時(shí),啟用了**修復(fù)——這一點(diǎn)對(duì)于多個(gè)供應(yīng)商來(lái)說(shuō)非常重要。

Fortinet

與上面報(bào)道的Citrix的原因類似,F(xiàn)ortinet的SSL Virtual Private Network產(chǎn)品在2020年的使用出現(xiàn)爆炸式增長(zhǎng),使其成為攻擊者非常誘人的目標(biāo)。所有這三個(gè)問(wèn)題都圍繞著遠(yuǎn)程訪問(wèn)提供。

2018年漏洞允許惡意用戶從 FortiOS 門戶網(wǎng)站移動(dòng)到包含系統(tǒng)文件的目錄,但不一定要上傳自己的。雖然這聽(tīng)起來(lái)不一定像其他一些漏洞那么糟糕,但據(jù)認(rèn)為這一發(fā)現(xiàn)的研究人員稱,它允許“預(yù)授權(quán)任意文件讀取”,或者更具體地說(shuō),他們可能會(huì)讀取密碼數(shù)據(jù)庫(kù)和其他敏感數(shù)據(jù)。

2019年漏洞可能允許同一本地子網(wǎng)的用戶模擬LDAP身份驗(yàn)證服務(wù)器,并可能獲取敏感數(shù)據(jù)?;ヂ?lián)網(wǎng)安全與研究集團(tuán)(Internet Security and Research Group)詹姆斯·倫肯(James Renken)是該漏洞的發(fā)現(xiàn)者之一,他重申,如果在多個(gè)地點(diǎn)使用被盜的憑證,訪問(wèn)可能會(huì)迅速傳播。

2020年漏洞,如果用戶更改用戶名的大小寫,可能允許用戶繞過(guò)雙因素認(rèn)證要求。例如,如果惡意用戶利用2018漏洞獲取證書(shū),他們就可以利用該漏洞獲得完全訪問(wèn)權(quán),而不需要2FA令牌。

Microsoft

Microsoft 的 Windows **作系統(tǒng)、Office 生產(chǎn)力軟件、Sharepoint 內(nèi)容管理系統(tǒng)和 Exchange 電子郵件服務(wù)器產(chǎn)品為許多企業(yè)提供支持。 2017 Office漏洞允許惡意用戶將文件分發(fā)給合法用戶,第二在Office 套件程序或**的寫字板應(yīng)用程序中打開(kāi)該文件。一旦用戶打開(kāi)文件,惡意用戶希望的任何代碼都將以登錄用戶的權(quán)限運(yùn)行。這在概念上與 2019 Sharepoint 漏洞非常相似,其中代碼可以作為 Sharepoint 應(yīng)用程序池和服務(wù)器場(chǎng)帳戶的憑據(jù)運(yùn)行。

后臺(tái)智能傳輸服務(wù) (BITS)為Windows提供了大量的更新功能。利用這個(gè)漏洞,已經(jīng)可以訪問(wèn)系統(tǒng)的惡意用戶可以提升他們的權(quán)限來(lái)控制整個(gè)本地計(jì)算機(jī)。

Netlogon允許對(duì)屬于Microsoft的Active Directory域結(jié)構(gòu)的用戶和計(jì)算機(jī)進(jìn)行身份驗(yàn)證。利用該漏洞可能允許某人冒充域控制器并可能獲得域管理員權(quán)限。

2020 Exchange 漏洞是由 Exchange 2019 中的 Exchange 控制面板 Web 應(yīng)用程序問(wèn)題引起的。該問(wèn)題與加密密鑰有關(guān),特別是它在安裝時(shí)不會(huì)生成新密鑰。如果惡意用戶有權(quán)訪問(wèn)默認(rèn)密鑰,他們可能會(huì)導(dǎo)致 Exchange 解密其數(shù)據(jù)。這可以創(chuàng)建一個(gè)遠(yuǎn)程代碼執(zhí)行系統(tǒng)-服務(wù)器上的最高權(quán)限級(jí)別。

另一方面,2021年的Exchange漏洞是攻擊鏈的一部分。根據(jù)微軟公司客戶安全和信任副總裁Tom Burt的博客文章,該攻擊包含三個(gè)步驟:“第一,它會(huì)通過(guò)竊取的密碼或利用之前未發(fā)現(xiàn)的漏洞將自己偽裝成有權(quán)訪問(wèn)的人。第三,它會(huì)創(chuàng)建所謂的web shell 來(lái)遠(yuǎn)程控制受感染的服務(wù)器。最后,它會(huì)使用遠(yuǎn)程訪問(wèn)?!?/p>

MobileIron

MobileIron 提供了許多處理移動(dòng)設(shè)備管理的服務(wù)。Devcore 的 Orange Tsai 再次在 MobileIron Core產(chǎn)品中發(fā)現(xiàn)了一個(gè)漏洞,該漏洞可能允許惡意用戶在未經(jīng)身份驗(yàn)證的情況下執(zhí)行其代碼。

Pulse Secure

Pulse Secure的Connect Secure是SSL Virtual Private Network的一種形式,我們已經(jīng)在這個(gè)列表中多次看到。2019年漏洞可能允許未經(jīng)身份驗(yàn)證的用戶讀取通過(guò)Virtual Private Network傳輸?shù)奈募?,獲得對(duì)純文本憑證的訪問(wèn),并在客戶端連接到Virtual Private Network服務(wù)器時(shí)執(zhí)行命令。

2021漏洞可能允許未經(jīng)身份驗(yàn)證的用戶通過(guò)根級(jí)訪問(wèn)在Virtual Private Network**本身上運(yùn)行他們的代碼。

Telerik

Telerik的ASP.NET AJAX UI允許快速創(chuàng)建和部署Web表單。此漏洞在概念上類似于Exchange解密漏洞。如果惡意用戶可以通過(guò)其他漏洞或其他方式訪問(wèn)加密密鑰,他們就可以在服務(wù)器上運(yùn)行自己的代碼。

VMWare

VMWare允許在主機(jī)**作系統(tǒng)之上運(yùn)行虛擬機(jī),vSphere 是它們的主要管理界面。第一個(gè)漏洞是由于默認(rèn)啟用的插件上沒(méi)有輸入驗(yàn)證。因此,用戶可以在主機(jī)**作系統(tǒng)上運(yùn)行他們的代碼。第二個(gè)漏洞也涉及插件,但不同的是,在不需要驗(yàn)證的情況下,它允許用戶執(zhí)行受影響的插件通??梢詧?zhí)行的任何**作。

拓展知識(shí):

sharepointworks

還做OFFICE辦公軟件.

sharepointworks

所有產(chǎn)品
提供您的語(yǔ)言版本的所有可下載的產(chǎn)品列表。

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 其他
A
ActiMates
ActiveSync
ADO.NET
返回頁(yè)首

B
BackOffice **all Business Server
BizTalk Server
Business Solutions
Business Solutions Axtapa
返回頁(yè)首

C
COM+
Commerce Server
Content Management Server(內(nèi)容管理服務(wù)器)
Cordless Wheel Mouse(**旋貂)
Creature House
返回頁(yè)首

D
Developer Tools
DirectX
返回頁(yè)首

E
Electronic Forms Designer(電子表單設(shè)計(jì)程序)
Excel
Exchange
返回頁(yè)首

F
FoxPro
FrontPage
返回頁(yè)首

G
Games & Xbox
返回頁(yè)首

I
IEAK
IIS
IntelliMouse(智能鼠標(biāo))
Internet Explorer
Internet Keyboard(微軟網(wǎng)絡(luò)鍵盤)
Internet Security and Acceleration Server
返回頁(yè)首

J
Java Language Conversion Assistant
Jet Database Engine
返回頁(yè)首

L
Longhorn
返回頁(yè)首

M
Management Console(管理控制臺(tái))
Microsoft Active Server Pages
Microsoft Antigen
Microsoft ASP.NET
Microsoft Dynamics CRM
Microsoft Dynamics for **ytics
Microsoft Dynamics for Field Service Management
Microsoft Dynamics for Financial Management
Microsoft Dynamics for Human Resource Management
Microsoft Dynamics for Project Management and Accounting
Microsoft Dynamics for Supply Chain Management
Microsoft Expression
Microsoft Forefront
Microsoft Hyper-V
Microsoft Licensing
Microsoft Mail
Microsoft Office Business Scorecard Manager
Microsoft Office Communications Server
Microsoft Office Communications Server
Microsoft Office Communicator
Microsoft Office Groove
Microsoft Office Live Meeting
Microsoft Office PerformancePoint Server
Microsoft Office Project
Microsoft Office SharePoint Designer
Microsoft Office technologies
Microsoft OLE
Microsoft Open Database Connectivity
Microsoft Platform Software Development Kit
Microsoft Press
Microsoft publications
Microsoft Silverlight
Microsoft SQL Server Reporting Services
Microsoft SQL Server technologies
Microsoft Student with Encarta Premium
Microsoft System Center
Microsoft System Center Data Protection Manager
Microsoft Virtual PC
Microsoft Virtual Server
Microsoft Windows CE toolkits
Microsoft Windows Millennium Edition
Microsoft Windows Script
Microsoft Windows SharePoint Services
Microsoft XML Core Services
Microsoft.com
MSDN
MSN
MSN Explorer
MSN Messenger Service
MSN Toolbar
MultiMedia Keyboard
返回頁(yè)首

N
Natural Keyboard(微軟自然鍵盤)
NetMeeting
NetShow
返回頁(yè)首

O
Office
Office
Office InfoPath
Office OneNote
Office PowerPoint
Office XP
Office 助手
Operations Manager(**作管理器)
OS/2 Presentation Manager
Outlook
返回頁(yè)首

P
Pocket PC Software
Proofing Tools(校驗(yàn)工具)
Publisher
返回頁(yè)首

S
Schedule+
security
Servers
SharePoint
Site Server
**all Business Server
**artphone 軟件
SQL Server
Systems Management Server
返回頁(yè)首

T
Trackball(軌跡球)
返回頁(yè)首

U
** Assault
返回頁(yè)首

V
Virtual Machine for Java
Visio
Visual Basic
Visual C# .NET
Visual C++
Visual FoxPro
Visual InterDev
Visual J# .NET
Visual J++
Visual SourceSafe
Visual Studio
返回頁(yè)首

W
Web services
Windows
Windows 2000
Windows 95
Windows 98
Windows CE .NET
Windows CE Handheld PC
Windows CE Platform Builder
Windows CE 掌上電腦軟件
Windows Data Access Components
Windows Defender
Windows Embedded
Windows Essential Business Server
Windows for Pocket PC
Windows Home Server
Windows Live
Windows Media
Windows Messenger
Windows Mobile
Windows Mobile
Windows Movie Maker for Windows XP
Windows NT
Windows Server
Windows Vista
Windows XP
Windows XP Media Center Edition
Windows XP Tablet PC Edition
Windows 安裝服務(wù)
Windows 設(shè)備開(kāi)發(fā)工具包
Windows 增補(bǔ)驅(qū)動(dòng)程序庫(kù)
Windows-based Terminal
Wireless Desktop
Word
Works
返回頁(yè)首

X
Xbox
返回頁(yè)首

其他
.NET
**程序
**服務(wù)器
電話
訪問(wèn)
光學(xué)鼠標(biāo)
滾輪鼠標(biāo)
宏匯編程序
書(shū)架
鼠標(biāo)
索引服務(wù)器
**滾輪鼠標(biāo)
返回頁(yè)首

參考資料:
http://www.microsoft.com/downloads/Products.aspx?displaylang=zh-cn

前沿拓展:


對(duì)于所有的0day,定制的惡意軟件和其他完全未知的安全漏洞,它們已經(jīng)存在多年并被廣泛利用。為了更好地表明這一點(diǎn),美國(guó)聯(lián)邦調(diào)查局(FBI)、美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施**(CISA)、澳大利亞網(wǎng)絡(luò)安全中心(ACSC)和英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)發(fā)布了聯(lián)合網(wǎng)絡(luò)安全咨詢。在這份報(bào)告中,他們列出了2020年和2021年使用的30大漏洞。

盡管軟件供應(yīng)商和開(kāi)發(fā)人員盡了最大努力,但其中許多漏洞已經(jīng)存在多年。如Microsoft 的Print Spooler中的“PrintNightmare”漏洞表明,僅僅因?yàn)槟承┦虑橐阎⒉灰馕吨苋菀妆唤鉀Q。

Accellion

在查看此列表時(shí)請(qǐng)記住,本文中的每個(gè)漏洞在某些時(shí)候都被認(rèn)為是“關(guān)鍵的”,而且它們都被廣泛使用。因此,所有這些的主要結(jié)論是,如果你正在使用這里列出的產(chǎn)品,請(qǐng)確保立即打補(bǔ)丁。

這里提到的FTA服務(wù)器主要用于傳輸非常大的文件。該程序自2018年以來(lái)一直處于更新?tīng)顟B(tài),已經(jīng)更新了20多年。自 2021年4月30日起,該程序被視為生命周期結(jié)束,由他們的Kiteworks軟件接管。上述四個(gè)漏洞都在同一個(gè)包中公布,每個(gè)都是不同的漏洞類型。

Qualys 是受此漏洞影響的知名組織之一,其DMZ中的FTA服務(wù)器遭到破壞。

Atlassian

Confluence服務(wù)器是一個(gè)wiki風(fēng)格的協(xié)作環(huán)境。通過(guò)在易受攻擊的軟件版本中利用“小部件連接器宏”,惡意用戶將能夠?yàn)g覽服務(wù)器上的目錄、部署模板并實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

這一特殊漏洞已被用于部署加密貨幣挖掘軟件和勒索軟件。

Crowd和Crowd Data Center都是身份管理系統(tǒng),提供單點(diǎn)登錄服務(wù),可以通過(guò)一個(gè)**提供商幫助跨多個(gè)平臺(tái)進(jìn)行身份驗(yàn)證。這些程序的產(chǎn)品版本默認(rèn)情況下錯(cuò)誤地啟用了一個(gè)名為pdkinstall的開(kāi)發(fā)插件。通過(guò)這個(gè)漏洞,惡意用戶可以安裝他們的插件,從而創(chuàng)建遠(yuǎn)程代碼執(zhí)行場(chǎng)景。

Citrix

在2019冠狀**病(COVID-19)大流行期間,人們迅速轉(zhuǎn)向遠(yuǎn)程工作,在許多情況下,這是意外的。這意味著許多組織在未完全配置的狀態(tài)下部署了可能未經(jīng)測(cè)試的遠(yuǎn)程訪問(wèn)系統(tǒng)。因此,這一漏洞是2020年被利用最多的漏洞。

卡內(nèi)基梅隆大學(xué)(Carnegie Mellon University)的研究人員能夠證明,該軟件不限制訪問(wèn)名為“Virtual Private Network”的目錄中的特定腳本部分,該目錄可以通過(guò)目錄遍歷訪問(wèn)。一旦它們?cè)谶@個(gè)目錄中,它們就可以執(zhí)行其設(shè)計(jì)的遠(yuǎn)程代碼執(zhí)行。

Drupal

Drupal被許多人用作網(wǎng)站和wiki的內(nèi)容管理系統(tǒng) (CMS)。該漏洞涉及 Drupal 請(qǐng)求參數(shù)的方式。根據(jù)Tenable的說(shuō)法,惡意用戶可以使用它來(lái)將有效負(fù)載部署到系統(tǒng)而無(wú)需輸入滅菌,因?yàn)樗邮軘?shù)組中的參數(shù)。

有可能同時(shí)利用應(yīng)用程序和主機(jī)**作系統(tǒng)。盡管問(wèn)題很嚴(yán)重,但仍有許多未打補(bǔ)丁的系統(tǒng),盡管自 2018 年年中以來(lái)已有補(bǔ)丁可用。

可以同時(shí)利用應(yīng)用程序和主機(jī)**作系統(tǒng)。盡管這個(gè)問(wèn)題很嚴(yán)重,而且自2018年年中以來(lái)已經(jīng)有了補(bǔ)丁,但仍然有許多系統(tǒng)沒(méi)有補(bǔ)丁。

F5

BIG-IP提供負(fù)載均衡、防火墻功能和DNS服務(wù)。通過(guò)該漏洞,惡意用戶將能夠訪問(wèn)應(yīng)用程序的配置功能,以及他們選擇的運(yùn)行代碼。

然而,像許多其他配置工具一樣,只允許從特定的ip訪問(wèn)上層控制提供了一個(gè)快速的解決方案。與此同時(shí),啟用了**修復(fù)——這一點(diǎn)對(duì)于多個(gè)供應(yīng)商來(lái)說(shuō)非常重要。

Fortinet

與上面報(bào)道的Citrix的原因類似,F(xiàn)ortinet的SSL Virtual Private Network產(chǎn)品在2020年的使用出現(xiàn)爆炸式增長(zhǎng),使其成為攻擊者非常誘人的目標(biāo)。所有這三個(gè)問(wèn)題都圍繞著遠(yuǎn)程訪問(wèn)提供。

2018年漏洞允許惡意用戶從 FortiOS 門戶網(wǎng)站移動(dòng)到包含系統(tǒng)文件的目錄,但不一定要上傳自己的。雖然這聽(tīng)起來(lái)不一定像其他一些漏洞那么糟糕,但據(jù)認(rèn)為這一發(fā)現(xiàn)的研究人員稱,它允許“預(yù)授權(quán)任意文件讀取”,或者更具體地說(shuō),他們可能會(huì)讀取密碼數(shù)據(jù)庫(kù)和其他敏感數(shù)據(jù)。

2019年漏洞可能允許同一本地子網(wǎng)的用戶模擬LDAP身份驗(yàn)證服務(wù)器,并可能獲取敏感數(shù)據(jù)?;ヂ?lián)網(wǎng)安全與研究集團(tuán)(Internet Security and Research Group)詹姆斯·倫肯(James Renken)是該漏洞的發(fā)現(xiàn)者之一,他重申,如果在多個(gè)地點(diǎn)使用被盜的憑證,訪問(wèn)可能會(huì)迅速傳播。

2020年漏洞,如果用戶更改用戶名的大小寫,可能允許用戶繞過(guò)雙因素認(rèn)證要求。例如,如果惡意用戶利用2018漏洞獲取證書(shū),他們就可以利用該漏洞獲得完全訪問(wèn)權(quán),而不需要2FA令牌。

Microsoft

Microsoft 的 Windows **作系統(tǒng)、Office 生產(chǎn)力軟件、Sharepoint 內(nèi)容管理系統(tǒng)和 Exchange 電子郵件服務(wù)器產(chǎn)品為許多企業(yè)提供支持。 2017 Office漏洞允許惡意用戶將文件分發(fā)給合法用戶,第二在Office 套件程序或**的寫字板應(yīng)用程序中打開(kāi)該文件。一旦用戶打開(kāi)文件,惡意用戶希望的任何代碼都將以登錄用戶的權(quán)限運(yùn)行。這在概念上與 2019 Sharepoint 漏洞非常相似,其中代碼可以作為 Sharepoint 應(yīng)用程序池和服務(wù)器場(chǎng)帳戶的憑據(jù)運(yùn)行。

后臺(tái)智能傳輸服務(wù) (BITS)為Windows提供了大量的更新功能。利用這個(gè)漏洞,已經(jīng)可以訪問(wèn)系統(tǒng)的惡意用戶可以提升他們的權(quán)限來(lái)控制整個(gè)本地計(jì)算機(jī)。

Netlogon允許對(duì)屬于Microsoft的Active Directory域結(jié)構(gòu)的用戶和計(jì)算機(jī)進(jìn)行身份驗(yàn)證。利用該漏洞可能允許某人冒充域控制器并可能獲得域管理員權(quán)限。

2020 Exchange 漏洞是由 Exchange 2019 中的 Exchange 控制面板 Web 應(yīng)用程序問(wèn)題引起的。該問(wèn)題與加密密鑰有關(guān),特別是它在安裝時(shí)不會(huì)生成新密鑰。如果惡意用戶有權(quán)訪問(wèn)默認(rèn)密鑰,他們可能會(huì)導(dǎo)致 Exchange 解密其數(shù)據(jù)。這可以創(chuàng)建一個(gè)遠(yuǎn)程代碼執(zhí)行系統(tǒng)-服務(wù)器上的最高權(quán)限級(jí)別。

另一方面,2021年的Exchange漏洞是攻擊鏈的一部分。根據(jù)微軟公司客戶安全和信任副總裁Tom Burt的博客文章,該攻擊包含三個(gè)步驟:“第一,它會(huì)通過(guò)竊取的密碼或利用之前未發(fā)現(xiàn)的漏洞將自己偽裝成有權(quán)訪問(wèn)的人。第三,它會(huì)創(chuàng)建所謂的web shell 來(lái)遠(yuǎn)程控制受感染的服務(wù)器。最后,它會(huì)使用遠(yuǎn)程訪問(wèn)?!?/p>

MobileIron

MobileIron 提供了許多處理移動(dòng)設(shè)備管理的服務(wù)。Devcore 的 Orange Tsai 再次在 MobileIron Core產(chǎn)品中發(fā)現(xiàn)了一個(gè)漏洞,該漏洞可能允許惡意用戶在未經(jīng)身份驗(yàn)證的情況下執(zhí)行其代碼。

Pulse Secure

Pulse Secure的Connect Secure是SSL Virtual Private Network的一種形式,我們已經(jīng)在這個(gè)列表中多次看到。2019年漏洞可能允許未經(jīng)身份驗(yàn)證的用戶讀取通過(guò)Virtual Private Network傳輸?shù)奈募?,獲得對(duì)純文本憑證的訪問(wèn),并在客戶端連接到Virtual Private Network服務(wù)器時(shí)執(zhí)行命令。

2021漏洞可能允許未經(jīng)身份驗(yàn)證的用戶通過(guò)根級(jí)訪問(wèn)在Virtual Private Network**本身上運(yùn)行他們的代碼。

Telerik

Telerik的ASP.NET AJAX UI允許快速創(chuàng)建和部署Web表單。此漏洞在概念上類似于Exchange解密漏洞。如果惡意用戶可以通過(guò)其他漏洞或其他方式訪問(wèn)加密密鑰,他們就可以在服務(wù)器上運(yùn)行自己的代碼。

VMWare

VMWare允許在主機(jī)**作系統(tǒng)之上運(yùn)行虛擬機(jī),vSphere 是它們的主要管理界面。第一個(gè)漏洞是由于默認(rèn)啟用的插件上沒(méi)有輸入驗(yàn)證。因此,用戶可以在主機(jī)**作系統(tǒng)上運(yùn)行他們的代碼。第二個(gè)漏洞也涉及插件,但不同的是,在不需要驗(yàn)證的情況下,它允許用戶執(zhí)行受影響的插件通常可以執(zhí)行的任何**作。

拓展知識(shí):

sharepointworks

還做OFFICE辦公軟件.

sharepointworks

所有產(chǎn)品
提供您的語(yǔ)言版本的所有可下載的產(chǎn)品列表。

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 其他
A
ActiMates
ActiveSync
ADO.NET
返回頁(yè)首

B
BackOffice **all Business Server
BizTalk Server
Business Solutions
Business Solutions Axtapa
返回頁(yè)首

C
COM+
Commerce Server
Content Management Server(內(nèi)容管理服務(wù)器)
Cordless Wheel Mouse(**旋貂)
Creature House
返回頁(yè)首

D
Developer Tools
DirectX
返回頁(yè)首

E
Electronic Forms Designer(電子表單設(shè)計(jì)程序)
Excel
Exchange
返回頁(yè)首

F
FoxPro
FrontPage
返回頁(yè)首

G
Games & Xbox
返回頁(yè)首

I
IEAK
IIS
IntelliMouse(智能鼠標(biāo))
Internet Explorer
Internet Keyboard(微軟網(wǎng)絡(luò)鍵盤)
Internet Security and Acceleration Server
返回頁(yè)首

J
Java Language Conversion Assistant
Jet Database Engine
返回頁(yè)首

L
Longhorn
返回頁(yè)首

M
Management Console(管理控制臺(tái))
Microsoft Active Server Pages
Microsoft Antigen
Microsoft ASP.NET
Microsoft Dynamics CRM
Microsoft Dynamics for **ytics
Microsoft Dynamics for Field Service Management
Microsoft Dynamics for Financial Management
Microsoft Dynamics for Human Resource Management
Microsoft Dynamics for Project Management and Accounting
Microsoft Dynamics for Supply Chain Management
Microsoft Expression
Microsoft Forefront
Microsoft Hyper-V
Microsoft Licensing
Microsoft Mail
Microsoft Office Business Scorecard Manager
Microsoft Office Communications Server
Microsoft Office Communications Server
Microsoft Office Communicator
Microsoft Office Groove
Microsoft Office Live Meeting
Microsoft Office PerformancePoint Server
Microsoft Office Project
Microsoft Office SharePoint Designer
Microsoft Office technologies
Microsoft OLE
Microsoft Open Database Connectivity
Microsoft Platform Software Development Kit
Microsoft Press
Microsoft publications
Microsoft Silverlight
Microsoft SQL Server Reporting Services
Microsoft SQL Server technologies
Microsoft Student with Encarta Premium
Microsoft System Center
Microsoft System Center Data Protection Manager
Microsoft Virtual PC
Microsoft Virtual Server
Microsoft Windows CE toolkits
Microsoft Windows Millennium Edition
Microsoft Windows Script
Microsoft Windows SharePoint Services
Microsoft XML Core Services
Microsoft.com
MSDN
MSN
MSN Explorer
MSN Messenger Service
MSN Toolbar
MultiMedia Keyboard
返回頁(yè)首

N
Natural Keyboard(微軟自然鍵盤)
NetMeeting
NetShow
返回頁(yè)首

O
Office
Office
Office InfoPath
Office OneNote
Office PowerPoint
Office XP
Office 助手
Operations Manager(**作管理器)
OS/2 Presentation Manager
Outlook
返回頁(yè)首

P
Pocket PC Software
Proofing Tools(校驗(yàn)工具)
Publisher
返回頁(yè)首

S
Schedule+
security
Servers
SharePoint
Site Server
**all Business Server
**artphone 軟件
SQL Server
Systems Management Server
返回頁(yè)首

T
Trackball(軌跡球)
返回頁(yè)首

U
** Assault
返回頁(yè)首

V
Virtual Machine for Java
Visio
Visual Basic
Visual C# .NET
Visual C++
Visual FoxPro
Visual InterDev
Visual J# .NET
Visual J++
Visual SourceSafe
Visual Studio
返回頁(yè)首

W
Web services
Windows
Windows 2000
Windows 95
Windows 98
Windows CE .NET
Windows CE Handheld PC
Windows CE Platform Builder
Windows CE 掌上電腦軟件
Windows Data Access Components
Windows Defender
Windows Embedded
Windows Essential Business Server
Windows for Pocket PC
Windows Home Server
Windows Live
Windows Media
Windows Messenger
Windows Mobile
Windows Mobile
Windows Movie Maker for Windows XP
Windows NT
Windows Server
Windows Vista
Windows XP
Windows XP Media Center Edition
Windows XP Tablet PC Edition
Windows 安裝服務(wù)
Windows 設(shè)備開(kāi)發(fā)工具包
Windows 增補(bǔ)驅(qū)動(dòng)程序庫(kù)
Windows-based Terminal
Wireless Desktop
Word
Works
返回頁(yè)首

X
Xbox
返回頁(yè)首

其他
.NET
**程序
**服務(wù)器
電話
訪問(wèn)
光學(xué)鼠標(biāo)
滾輪鼠標(biāo)
宏匯編程序
書(shū)架
鼠標(biāo)
索引服務(wù)器
**滾輪鼠標(biāo)
返回頁(yè)首

參考資料:
http://www.microsoft.com/downloads/Products.aspx?displaylang=zh-cn

前沿拓展:


對(duì)于所有的0day,定制的惡意軟件和其他完全未知的安全漏洞,它們已經(jīng)存在多年并被廣泛利用。為了更好地表明這一點(diǎn),美國(guó)聯(lián)邦調(diào)查局(FBI)、美國(guó)網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施**(CISA)、澳大利亞網(wǎng)絡(luò)安全中心(ACSC)和英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)發(fā)布了聯(lián)合網(wǎng)絡(luò)安全咨詢。在這份報(bào)告中,他們列出了2020年和2021年使用的30大漏洞。

盡管軟件供應(yīng)商和開(kāi)發(fā)人員盡了最大努力,但其中許多漏洞已經(jīng)存在多年。如Microsoft 的Print Spooler中的“PrintNightmare”漏洞表明,僅僅因?yàn)槟承┦虑橐阎⒉灰馕吨苋菀妆唤鉀Q。

Accellion

在查看此列表時(shí)請(qǐng)記住,本文中的每個(gè)漏洞在某些時(shí)候都被認(rèn)為是“關(guān)鍵的”,而且它們都被廣泛使用。因此,所有這些的主要結(jié)論是,如果你正在使用這里列出的產(chǎn)品,請(qǐng)確保立即打補(bǔ)丁。

這里提到的FTA服務(wù)器主要用于傳輸非常大的文件。該程序自2018年以來(lái)一直處于更新?tīng)顟B(tài),已經(jīng)更新了20多年。自 2021年4月30日起,該程序被視為生命周期結(jié)束,由他們的Kiteworks軟件接管。上述四個(gè)漏洞都在同一個(gè)包中公布,每個(gè)都是不同的漏洞類型。

Qualys 是受此漏洞影響的知名組織之一,其DMZ中的FTA服務(wù)器遭到破壞。

Atlassian

Confluence服務(wù)器是一個(gè)wiki風(fēng)格的協(xié)作環(huán)境。通過(guò)在易受攻擊的軟件版本中利用“小部件連接器宏”,惡意用戶將能夠?yàn)g覽服務(wù)器上的目錄、部署模板并實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。

這一特殊漏洞已被用于部署加密貨幣挖掘軟件和勒索軟件。

Crowd和Crowd Data Center都是身份管理系統(tǒng),提供單點(diǎn)登錄服務(wù),可以通過(guò)一個(gè)**提供商幫助跨多個(gè)平臺(tái)進(jìn)行身份驗(yàn)證。這些程序的產(chǎn)品版本默認(rèn)情況下錯(cuò)誤地啟用了一個(gè)名為pdkinstall的開(kāi)發(fā)插件。通過(guò)這個(gè)漏洞,惡意用戶可以安裝他們的插件,從而創(chuàng)建遠(yuǎn)程代碼執(zhí)行場(chǎng)景。

Citrix

在2019冠狀**病(COVID-19)大流行期間,人們迅速轉(zhuǎn)向遠(yuǎn)程工作,在許多情況下,這是意外的。這意味著許多組織在未完全配置的狀態(tài)下部署了可能未經(jīng)測(cè)試的遠(yuǎn)程訪問(wèn)系統(tǒng)。因此,這一漏洞是2020年被利用最多的漏洞。

卡內(nèi)基梅隆大學(xué)(Carnegie Mellon University)的研究人員能夠證明,該軟件不限制訪問(wèn)名為“Virtual Private Network”的目錄中的特定腳本部分,該目錄可以通過(guò)目錄遍歷訪問(wèn)。一旦它們?cè)谶@個(gè)目錄中,它們就可以執(zhí)行其設(shè)計(jì)的遠(yuǎn)程代碼執(zhí)行。

Drupal

Drupal被許多人用作網(wǎng)站和wiki的內(nèi)容管理系統(tǒng) (CMS)。該漏洞涉及 Drupal 請(qǐng)求參數(shù)的方式。根據(jù)Tenable的說(shuō)法,惡意用戶可以使用它來(lái)將有效負(fù)載部署到系統(tǒng)而無(wú)需輸入滅菌,因?yàn)樗邮軘?shù)組中的參數(shù)。

有可能同時(shí)利用應(yīng)用程序和主機(jī)**作系統(tǒng)。盡管問(wèn)題很嚴(yán)重,但仍有許多未打補(bǔ)丁的系統(tǒng),盡管自 2018 年年中以來(lái)已有補(bǔ)丁可用。

可以同時(shí)利用應(yīng)用程序和主機(jī)**作系統(tǒng)。盡管這個(gè)問(wèn)題很嚴(yán)重,而且自2018年年中以來(lái)已經(jīng)有了補(bǔ)丁,但仍然有許多系統(tǒng)沒(méi)有補(bǔ)丁。

F5

BIG-IP提供負(fù)載均衡、防火墻功能和DNS服務(wù)。通過(guò)該漏洞,惡意用戶將能夠訪問(wèn)應(yīng)用程序的配置功能,以及他們選擇的運(yùn)行代碼。

然而,像許多其他配置工具一樣,只允許從特定的ip訪問(wèn)上層控制提供了一個(gè)快速的解決方案。與此同時(shí),啟用了**修復(fù)——這一點(diǎn)對(duì)于多個(gè)供應(yīng)商來(lái)說(shuō)非常重要。

Fortinet

與上面報(bào)道的Citrix的原因類似,F(xiàn)ortinet的SSL Virtual Private Network產(chǎn)品在2020年的使用出現(xiàn)爆炸式增長(zhǎng),使其成為攻擊者非常誘人的目標(biāo)。所有這三個(gè)問(wèn)題都圍繞著遠(yuǎn)程訪問(wèn)提供。

2018年漏洞允許惡意用戶從 FortiOS 門戶網(wǎng)站移動(dòng)到包含系統(tǒng)文件的目錄,但不一定要上傳自己的。雖然這聽(tīng)起來(lái)不一定像其他一些漏洞那么糟糕,但據(jù)認(rèn)為這一發(fā)現(xiàn)的研究人員稱,它允許“預(yù)授權(quán)任意文件讀取”,或者更具體地說(shuō),他們可能會(huì)讀取密碼數(shù)據(jù)庫(kù)和其他敏感數(shù)據(jù)。

2019年漏洞可能允許同一本地子網(wǎng)的用戶模擬LDAP身份驗(yàn)證服務(wù)器,并可能獲取敏感數(shù)據(jù)?;ヂ?lián)網(wǎng)安全與研究集團(tuán)(Internet Security and Research Group)詹姆斯·倫肯(James Renken)是該漏洞的發(fā)現(xiàn)者之一,他重申,如果在多個(gè)地點(diǎn)使用被盜的憑證,訪問(wèn)可能會(huì)迅速傳播。

2020年漏洞,如果用戶更改用戶名的大小寫,可能允許用戶繞過(guò)雙因素認(rèn)證要求。例如,如果惡意用戶利用2018漏洞獲取證書(shū),他們就可以利用該漏洞獲得完全訪問(wèn)權(quán),而不需要2FA令牌。

Microsoft

Microsoft 的 Windows **作系統(tǒng)、Office 生產(chǎn)力軟件、Sharepoint 內(nèi)容管理系統(tǒng)和 Exchange 電子郵件服務(wù)器產(chǎn)品為許多企業(yè)提供支持。 2017 Office漏洞允許惡意用戶將文件分發(fā)給合法用戶,第二在Office 套件程序或**的寫字板應(yīng)用程序中打開(kāi)該文件。一旦用戶打開(kāi)文件,惡意用戶希望的任何代碼都將以登錄用戶的權(quán)限運(yùn)行。這在概念上與 2019 Sharepoint 漏洞非常相似,其中代碼可以作為 Sharepoint 應(yīng)用程序池和服務(wù)器場(chǎng)帳戶的憑據(jù)運(yùn)行。

后臺(tái)智能傳輸服務(wù) (BITS)為Windows提供了大量的更新功能。利用這個(gè)漏洞,已經(jīng)可以訪問(wèn)系統(tǒng)的惡意用戶可以提升他們的權(quán)限來(lái)控制整個(gè)本地計(jì)算機(jī)。

Netlogon允許對(duì)屬于Microsoft的Active Directory域結(jié)構(gòu)的用戶和計(jì)算機(jī)進(jìn)行身份驗(yàn)證。利用該漏洞可能允許某人冒充域控制器并可能獲得域管理員權(quán)限。

2020 Exchange 漏洞是由 Exchange 2019 中的 Exchange 控制面板 Web 應(yīng)用程序問(wèn)題引起的。該問(wèn)題與加密密鑰有關(guān),特別是它在安裝時(shí)不會(huì)生成新密鑰。如果惡意用戶有權(quán)訪問(wèn)默認(rèn)密鑰,他們可能會(huì)導(dǎo)致 Exchange 解密其數(shù)據(jù)。這可以創(chuàng)建一個(gè)遠(yuǎn)程代碼執(zhí)行系統(tǒng)-服務(wù)器上的最高權(quán)限級(jí)別。

另一方面,2021年的Exchange漏洞是攻擊鏈的一部分。根據(jù)微軟公司客戶安全和信任副總裁Tom Burt的博客文章,該攻擊包含三個(gè)步驟:“第一,它會(huì)通過(guò)竊取的密碼或利用之前未發(fā)現(xiàn)的漏洞將自己偽裝成有權(quán)訪問(wèn)的人。第三,它會(huì)創(chuàng)建所謂的web shell 來(lái)遠(yuǎn)程控制受感染的服務(wù)器。最后,它會(huì)使用遠(yuǎn)程訪問(wèn)?!?/p>

MobileIron

MobileIron 提供了許多處理移動(dòng)設(shè)備管理的服務(wù)。Devcore 的 Orange Tsai 再次在 MobileIron Core產(chǎn)品中發(fā)現(xiàn)了一個(gè)漏洞,該漏洞可能允許惡意用戶在未經(jīng)身份驗(yàn)證的情況下執(zhí)行其代碼。

Pulse Secure

Pulse Secure的Connect Secure是SSL Virtual Private Network的一種形式,我們已經(jīng)在這個(gè)列表中多次看到。2019年漏洞可能允許未經(jīng)身份驗(yàn)證的用戶讀取通過(guò)Virtual Private Network傳輸?shù)奈募?,獲得對(duì)純文本憑證的訪問(wèn),并在客戶端連接到Virtual Private Network服務(wù)器時(shí)執(zhí)行命令。

2021漏洞可能允許未經(jīng)身份驗(yàn)證的用戶通過(guò)根級(jí)訪問(wèn)在Virtual Private Network**本身上運(yùn)行他們的代碼。

Telerik

Telerik的ASP.NET AJAX UI允許快速創(chuàng)建和部署Web表單。此漏洞在概念上類似于Exchange解密漏洞。如果惡意用戶可以通過(guò)其他漏洞或其他方式訪問(wèn)加密密鑰,他們就可以在服務(wù)器上運(yùn)行自己的代碼。

VMWare

VMWare允許在主機(jī)**作系統(tǒng)之上運(yùn)行虛擬機(jī),vSphere 是它們的主要管理界面。第一個(gè)漏洞是由于默認(rèn)啟用的插件上沒(méi)有輸入驗(yàn)證。因此,用戶可以在主機(jī)**作系統(tǒng)上運(yùn)行他們的代碼。第二個(gè)漏洞也涉及插件,但不同的是,在不需要驗(yàn)證的情況下,它允許用戶執(zhí)行受影響的插件通??梢詧?zhí)行的任何**作。

拓展知識(shí):

sharepointworks

還做OFFICE辦公軟件.

sharepointworks

所有產(chǎn)品
提供您的語(yǔ)言版本的所有可下載的產(chǎn)品列表。

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 其他
A
ActiMates
ActiveSync
ADO.NET
返回頁(yè)首

B
BackOffice **all Business Server
BizTalk Server
Business Solutions
Business Solutions Axtapa
返回頁(yè)首

C
COM+
Commerce Server
Content Management Server(內(nèi)容管理服務(wù)器)
Cordless Wheel Mouse(**旋貂)
Creature House
返回頁(yè)首

D
Developer Tools
DirectX
返回頁(yè)首

E
Electronic Forms Designer(電子表單設(shè)計(jì)程序)
Excel
Exchange
返回頁(yè)首

F
FoxPro
FrontPage
返回頁(yè)首

G
Games & Xbox
返回頁(yè)首

I
IEAK
IIS
IntelliMouse(智能鼠標(biāo))
Internet Explorer
Internet Keyboard(微軟網(wǎng)絡(luò)鍵盤)
Internet Security and Acceleration Server
返回頁(yè)首

J
Java Language Conversion Assistant
Jet Database Engine
返回頁(yè)首

L
Longhorn
返回頁(yè)首

M
Management Console(管理控制臺(tái))
Microsoft Active Server Pages
Microsoft Antigen
Microsoft ASP.NET
Microsoft Dynamics CRM
Microsoft Dynamics for **ytics
Microsoft Dynamics for Field Service Management
Microsoft Dynamics for Financial Management
Microsoft Dynamics for Human Resource Management
Microsoft Dynamics for Project Management and Accounting
Microsoft Dynamics for Supply Chain Management
Microsoft Expression
Microsoft Forefront
Microsoft Hyper-V
Microsoft Licensing
Microsoft Mail
Microsoft Office Business Scorecard Manager
Microsoft Office Communications Server
Microsoft Office Communications Server
Microsoft Office Communicator
Microsoft Office Groove
Microsoft Office Live Meeting
Microsoft Office PerformancePoint Server
Microsoft Office Project
Microsoft Office SharePoint Designer
Microsoft Office technologies
Microsoft OLE
Microsoft Open Database Connectivity
Microsoft Platform Software Development Kit
Microsoft Press
Microsoft publications
Microsoft Silverlight
Microsoft SQL Server Reporting Services
Microsoft SQL Server technologies
Microsoft Student with Encarta Premium
Microsoft System Center
Microsoft System Center Data Protection Manager
Microsoft Virtual PC
Microsoft Virtual Server
Microsoft Windows CE toolkits
Microsoft Windows Millennium Edition
Microsoft Windows Script
Microsoft Windows SharePoint Services
Microsoft XML Core Services
Microsoft.com
MSDN
MSN
MSN Explorer
MSN Messenger Service
MSN Toolbar
MultiMedia Keyboard
返回頁(yè)首

N
Natural Keyboard(微軟自然鍵盤)
NetMeeting
NetShow
返回頁(yè)首

O
Office
Office
Office InfoPath
Office OneNote
Office PowerPoint
Office XP
Office 助手
Operations Manager(**作管理器)
OS/2 Presentation Manager
Outlook
返回頁(yè)首

P
Pocket PC Software
Proofing Tools(校驗(yàn)工具)
Publisher
返回頁(yè)首

S
Schedule+
security
Servers
SharePoint
Site Server
**all Business Server
**artphone 軟件
SQL Server
Systems Management Server
返回頁(yè)首

T
Trackball(軌跡球)
返回頁(yè)首

U
** Assault
返回頁(yè)首

V
Virtual Machine for Java
Visio
Visual Basic
Visual C# .NET
Visual C++
Visual FoxPro
Visual InterDev
Visual J# .NET
Visual J++
Visual SourceSafe
Visual Studio
返回頁(yè)首

W
Web services
Windows
Windows 2000
Windows 95
Windows 98
Windows CE .NET
Windows CE Handheld PC
Windows CE Platform Builder
Windows CE 掌上電腦軟件
Windows Data Access Components
Windows Defender
Windows Embedded
Windows Essential Business Server
Windows for Pocket PC
Windows Home Server
Windows Live
Windows Media
Windows Messenger
Windows Mobile
Windows Mobile
Windows Movie Maker for Windows XP
Windows NT
Windows Server
Windows Vista
Windows XP
Windows XP Media Center Edition
Windows XP Tablet PC Edition
Windows 安裝服務(wù)
Windows 設(shè)備開(kāi)發(fā)工具包
Windows 增補(bǔ)驅(qū)動(dòng)程序庫(kù)
Windows-based Terminal
Wireless Desktop
Word
Works
返回頁(yè)首

X
Xbox
返回頁(yè)首

其他
.NET
**程序
**服務(wù)器
電話
訪問(wèn)
光學(xué)鼠標(biāo)
滾輪鼠標(biāo)
宏匯編程序
書(shū)架
鼠標(biāo)
索引服務(wù)器
**滾輪鼠標(biāo)
返回頁(yè)首

參考資料:
http://www.microsoft.com/downloads/Products.aspx?displaylang=zh-cn

原創(chuàng)文章,作者:九賢生活小編,如若轉(zhuǎn)載,請(qǐng)注明出處:http://m.xiesong.cn/13955.html

精品久久久久久国产| 最新国产欧美一区| 无码人妻丰满熟妇区五十路| 亚洲色优| 黄色视频日叫人| 黄色网站无码在线观看| 亚洲另类欧美色图| 网免费看18| 青浦区| 性天堂av| 日韩无码肉妇视频| 自拍偷拍欧美亚洲| 日韩精品欧美精品| 亚洲日韩一二一二| 国产精选免费看| 成人免费ā片在线观看| 777亚洲熟妇色| 97国产全部免费视频| 先锋影音av网| 最近日本韩国高清免费观看| 国产精品-色哟哟| 性爱人妻HD| 九色在线极品| 欧美一级性生活| 美女胸18下看禁止免费视频| 久久播综合区| 热中文无码| 中文字幕日韩无| 亚洲av影视| 国产成人亚洲精品另类动态| 丝袜美腿亚洲一区| 亚洲44一区| 精品一区二区三区伊人| 色五月丁香六月欧美综合| 另类稀缺成人无码| 一二三亚洲| 日本乱伦HD| 精品久久久久久久久亚洲| 亚洲天堂最最新地址| WWw欧美综合| 康乐县|