天融信关于Adobe Flash Player 任意代码执行漏洞预警

一、背景介绍

Adobe Flash Player是一种广泛使用的、专有的多媒体程序播放器。它短小精悍,能够在各种浏览器、操作系统和移动设备上使用,功能强大,兼容性高。目前已经有超过13亿台的连接 Internet 的桌面计算机和移动设备上都安装了 Adobe Flash Player ,它使人们能够在交互式、丰富内容与视频、图形和动画组合到一起的 Web 上享受最富表现力的、引人入胜的体验。

1.1漏洞描述

11月20日,Adobe发布了一则安全更新通告,修补了Flash Player中的一个关键漏洞。攻击者可以利用精心设计SWF文件在应用程序的上下文中执行任意代码。

该漏洞影[......]

Read more

Linux下的Rootkit驻留技术分析

Linux作为服务器和IoT设备使用的主要操作系统,针对它的恶意软件也层出不穷。针对Linux设备的恶意软件(以下称为rootkit)通常需要长期驻留于目标操作系统以达到获利目的,所以如何实现驻留也是Linux rootkit作者的重点考虑内容之一,对此,天融信阿尔法实验室进行了可能的思路探索和分析。

在接下来的说明中,我们统一使用一个名为evil的静态链接ELF文件作为我们要实现驻留的rootkit,所有的驻留尝试均围绕这个程序展开。

技术汇总

1. 用户态下的可利用点

1.1 各种init的利用

Linux init

在systemd成为主流之前,sysvinit是大多数发[......]

Read more

CVE-2018-18778原创漏洞安全通告

一、概述

近日,天融信阿尔法实验室研究员发现了大量应用于IOT设备的Mini_httpd组件存在(CVE-2018-18778)任意文件读取漏洞,并可能影响全球百万在线设备。 Mini_httpd是一个小型Http服务器,占用系统资源较小,因此被广泛采用于IOT设备(比如路由器、摄像头等),通过该漏洞,恶意攻击者可以读取设备上的任意文件,严重威胁设备的安全性。

目前阿尔法实验室已经联合Mini_httpd官方ACME修补了该漏洞,官方提供了更新版本。

 

二、漏洞影响

  Mini_httpd组件被大量设备厂商采用,通过网络探测搜索到采用Mini_httpd的组件设[......]

Read more

天融信关于勒索软件加密过程研究

一、   前言

勒索软件是一种新兴的木马程序,可通过加密用户文件,使用户数据无法使用,并以此为条件向用户勒索钱财。随着现代社会对数据的高度依赖,数据平台遭受勒索软件攻击的事件频频出现,且勒索软件类型更加复杂化和多样化。文件加密、密钥传输保护、反追踪、扩散等技术将成为勒索软件这几年的发展方向,同时勒索目标从PC端扩展到移动终端、服务器、工控系统等其他平台。勒索软件的目的更加明确,去除对系统文件加密,只针对用户数据进行加密,并且扩大了加密数据类型范围。为了躲避网络安全设备的监视,勒索软件与C&C服务器的通信更加隐蔽,甚至去除C&C服务器。为躲避现实世界追捕,支付方式逐渐以数字货币[......]

Read more

天融信关于Weblogic CVE-2018-3191反序列化漏洞预警

一、背景介绍

WebLogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

1.1漏洞描述

近日研究人员发现了一个Oracle WebLogic Server的远程代码执行漏洞(CVE-2018-3191),通过该漏洞攻击者可以在未授权的情况下远程执行任意代码。该漏洞主要利用Spring JDNI反序列[......]

Read more

天融信关于CVE-2018-10933 libssh身份验证绕过漏洞预警

一、背景介绍

libssh 是一个在客户端和服务端实现SSHv2协议的多平台C库。通过它可以执行远程命令、文件传输,也能为远程的程序提供安全的传输通道。同时它也支持异步链接,SFTP,SCP和OpenSSH扩展,并且是线程安全的,在同一时间可使用不同的会话。

1.1漏洞描述

根据发布的安全公告声明,通过向libssh服务端发送SSH2_MSG_USERAUTH_SUCCESS消息来代替服务端期望启动身份验证的SSH2_MSG_USERAUTH_REQUEST消息,可在没有任何凭据的情况下成功进行身份验证。

1.2漏洞编号

CVE-2018-10993

1.3漏洞等级

高危

二、[......]

Read more

天融信关于Microsoft Edge远程代码执行漏洞攻击预警

一 背景介绍

 

Microsoft Edge浏览器是微软为Windows 10操作系统专门设计的浏览器,Edge浏览器不支持早期版本的Windows,其界面简洁,功能按钮虽少,但非常实用,支持内置Cortana(微软小娜)语音功能,内置了阅读器、笔记和分享功能,设计注重实用和极简主义,是一款优秀的浏览器。

 

1.1漏洞描述

10月 12日,有安全研究人员发布了Windows Shell RCE漏洞验证代码,受影响的软件为Windows 10内置的Microsoft Edge,攻击者可以通过Microsoft Edge浏览器在远程计算机上运行[......]

Read more

Windows全版本提权之Win10系列解析

一、背景介绍

       2018年8月27日,境外安全研究人员SandboxEscaper在其个人主页上披露了影响Windows 10 及Windows Server 2016系统的一个安全漏洞。根据描述,该漏洞存在于Windows的计划任务调度服务中,利用该漏洞攻击者可以从USER提升至SYSTEM权限。

       天融信阿尔法实验室第一时间进行跟进,进行漏洞复现和分析。本文将以Windows 10 X64系统平台为基础,详细介绍该漏洞及漏洞利用方法。同时附带利用该漏洞实现的提权工具及源码。

 2018-09-11_112727

二、漏洞简介

Windows 计划任务调度服务的接口函数(schedsvc[......]

Read more

天融信关于ThinkPHP 5.1.x SQL注入漏洞分析

一、背景介绍

ThinkPHP 是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架,遵循 Apache2 开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重开发体验和易用性,为 WEB 应用和 API 开发提供了强有力的支持。

在近期,ThinkPHP 框架被曝出存在SQL注入漏洞。由于SQL注入漏洞的危害性以及该框架应用十分广泛。 对此,天融信阿尔法实验室对该漏洞进行了深入分析。

1.1 漏洞描述

在ThinkPHP 5.1.23之前的版本中存在SQL注入漏洞,该漏洞是由于程序在处理order by 后[......]

Read more

天融信关于ThinkPHP 5.1.x SQL注入漏洞预警

一、背景介绍

ThinkPHP 是一个快速、简单的基于 MVC 和面向对象的轻量级 PHP 开发框架,遵循 Apache2 开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重开发体验和易用性,为 WEB 应用和 API 开发提供了强有力的支持。

1.1漏洞描述

据漏洞公告称,ThinkPHP 5.1.23之前的版本中存在SQL注入漏洞,该漏洞是由于程序在处理order by 后的参数时,未正确过滤处理数组的key值所造成。如果该参数用户可控,且当传递的数据为数组时,会导致漏洞的产生。

1.2漏洞编号

CVE-2018-163[......]

Read more