安全是有分量的

服务器防御_服务器防御分流_秒解封

2022-06-23 06:40栏目:安全

服务器防御_服务器防御分流_秒解封

Microsoft已修复所有当前Windows版本中的漏洞,该漏洞允许攻击者利用Windows组策略功能完全控制计算机。此漏洞影响自Windows Server 2008以来的所有Windows版本。

Windows管理员可以通过组策略功能远程管理网络上的所有Windows设备。此功能允许管理员为其组织创建一个集中的全局配置策略,该策略被推送到其网络上的所有Windows设备上。

这些策略允许管理员控制计算机的使用方式,例如禁用应用中的设置、禁止应用运行、启用和禁用Windows功能,甚至在每台Windows计算机上部署相同的墙纸。

为了检查新的组策略,Windows设备使用"组策略客户端"服务或"gpsvc",该服务将定期连接到域控制器并检查新的组策略更新。

如果发现任何问题,局域网ddos防御方法,则将其应用于本地系统,以便根据需要正确执行。

为了正确应用这些新策略,gpsvc服务配置为以"系统"权限运行,该权限与管理员帐户提供的权限相同。

作为今天补丁周二安全更新的一部分,Microsoft修复了"CVE-2020-1317 |组策略提升权限漏洞",该漏洞允许本地攻击者以管理权限运行任何命令。

该漏洞是由网络安全公司CyberArk发现的,服务器防御cc攻击,该公司发现了针对用于组策略更新以获得提升权限的文件的符号链接攻击。

"此漏洞允许域环境中的非特权用户执行文件系统攻击,从而允许恶意用户规避反恶意软件解决方案,绕过安全强化,并可能导致组织网络中的严重损坏。此漏洞可能会影响任何Windows计算机(2008或更高版本),以升级其在域环境中的权限,"CyberArk在其报告中声明。

当执行适用于组织中所有设备的组策略更新时,Windows会将新策略写入%LocalAppData%文件夹的子文件夹中,任何用户(包括标准用户)都有权限。

例如,如果组织策略与打印机相关s、 它将保存在:

拥有对已知由具有系统权限的进程使用的文件的完全访问权限,CyberArk发现他们可以在文件与执行DLL的RPC命令之间创建符号链接。

由于组策略客户端服务以系统权限运行,当他们试图应用该文件中的策略时,它将以系统权限执行攻击者想要的任何DLL。

要触发此漏洞,本地攻击者可以执行gpupdate。exe程序,执行手动组策略同步。此命令将触发策略更新并运行攻击者的恶意DLL。

根据CyberArk的说法,利用此漏洞的完整步骤如下:

对于没有权限的标准用户,局域网内ddos防御,仍然能够在任意位置创建文件,攻击者最终能够利用此漏洞升级其权限。

CyberArk解释道:"你可以在任意位置任意创建,带ddos防御的国外服务器,你也可以使用此漏洞删除和修改受系统保护的文件。基于你的GPO对象(打印机、设备、驱动器)的行为会有一个小小的变化。唉,所有这些都以EoP结束。"由于此漏洞影响数百万台(如果不是潜在的十亿台)设备,因此它是一个严重的安全漏洞,所有Windows管理员都应该尽快解决。

CyberArk于2019年6月17日向微软披露了该漏洞,专业防御ddos,微软今天在其2020年6月补丁周二的安全更新中修复了该漏洞。