Posts written by: 漏洞应急响应中心

天融信关于Weblogic CVE-2018-3191反序列化漏洞预警

一、背景介绍

WebLogic是美国Oracle公司出品的一个Application Server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。

1.1漏洞描述

近日研究人员发现了一个Oracle WebLogic Server的远程代码执行漏洞(CVE-2018-3191),通过该漏洞攻击者可以在未授权的情况下远程执行任意代码。该漏洞主要利用Spring JDNI反序列[......]

Read more

天融信关于Microsoft Edge远程代码执行漏洞攻击预警

一 背景介绍

 

Microsoft Edge浏览器是微软为Windows 10操作系统专门设计的浏览器,Edge浏览器不支持早期版本的Windows,其界面简洁,功能按钮虽少,但非常实用,支持内置Cortana(微软小娜)语音功能,内置了阅读器、笔记和分享功能,设计注重实用和极简主义,是一款优秀的浏览器。

 

1.1漏洞描述

10月 12日,有安全研究人员发布了Windows Shell RCE漏洞验证代码,受影响的软件为Windows 10内置的Microsoft Edge,攻击者可以通过Microsoft Edge浏览器在远程计算机上运行[......]

Read more

Memcached之反射拒绝服务攻击技术原理

一背景介绍

1.Memcached 简介

Memcached是一款开源、高性能、分布式内存对象缓存系统,可应用各种需要缓存的场景,其主要目的是通过降低对Database的访问来加速web应用程序。它是一个基于内存的“键值对”存储,用于存储数据库调用、API调用或页面引用结果的直接数据,如字符串、对象等。

许多Web应用都将数据保存到RDBMS(关系型数据库管理系统)中,应用服务器从中读取数据并在浏览器中显示。 但随着数据量的增大、访问的集中,就会出现RDBMS的负担加重、数据库响应恶化、 网站显示延迟等重大影响。这时就该Memcached大显身手了。Memcached是高性能[......]

Read more

关于CPU漏洞Spectre的详细分析

天融信.阿尔法实验室

一 前言

阿尔法实验室研究人员通过结合POC对整个漏洞原理流程还有漏洞细节做了进一步更详细的技术分析。

在本文中将详细分析POC中每个环节的关键点和漏洞的所有细节,包括漏洞形成的原因、漏洞攻击思路和方法、漏洞攻击流程,还有如何在浏览器中利用此漏洞,造成什么样的影响。

二 POC流程介绍

先介绍下poc执行流程

spec-1

(图 2.1)

 

图 2.1是一段利用分支执行漏洞的代码,有这段代码才能在分支预算并推测执行,我们要获取的是放入内存中的secret “Topsec test this vul!!“这段字符。 Topsec中的T的[......]

Read more

处理器重大漏洞简析及通告

天融信.阿尔法实验室 李喆 李闪 胡进

一、事件描述

1.1 漏洞背景

谷歌公司的Project Zero 安全团队于2018年一月四日公布了英特尔和arm等处理器存在重大安全漏洞。影响甚广包括了受害处理器上的所有操作系统。此漏洞可以跨权限获取内存中的敏感数据。

涉及到的CVE编号为:

1: 边界检查绕过 (CVE-2017-5753)

2: 分支目标注入 (CVE-2017-5715)

3: 盗取缓存数据(CVE-2017-5754)

涉及到两种攻击方法Spectre (cve1,2)和 Meltdown(cve3)

 

1.2 漏洞影响[......]

Read more

2017 NSA网络武器库泄露工具总结分析

—天融信阿尔法实验室

nsa1

 

2017 NSA网络武器库泄露工具总结分析

一、背景介绍

二、泄漏工具包分析

2.1 EASYBEE

2.2 ESTEEMAUDIT.

2.3 ETERNALROMANCE.

2.4 ENGLISHMANSDENTIST.

2.5 ESKIMOROLL.

2.6 ZIPPYBEER.

2.7 ETERNALSYNERGY.

2.8 Eternalblue.

2.9 Doublepulsar

2.10 Explodingcan.

2.11 Easypi[......]

Read more

BadRabbit勒索蠕虫样本深入分析

天融信.阿尔法实验室  李喆  李燕春

一、BadRabbit事件描述

1.1. 相关背景

Petya 勒索软件刚过去不久,又出现了新的一款勒索软件BadRabbit,因为其相似性很可能是同一作者, 跟Petya不同的是,它是利用对账号密码硬编码后进行smb暴力破解,并没有用到永恒之蓝漏洞。

另一点不同的是,他们初始化不同,伪装一个假的flash 更新包骗取用户下载,然后执行释放恶意程序。在详细介绍流程之前,先看看一些其他参数。

1.2. 样本md5列表

bad2

1.3. 其他情况介绍

b3

b4

二 BadRabbit 复现

2.1 主机重启后的提示:

b5

2.2[......]

Read more

Struts2 S2-052远程代码执行漏洞分析

天融信.阿尔法实验室 李喆,雨夜,张伟业

一、漏洞或事件描述

1.1漏洞背景

2017年9月5日,Apache官方发布了一则公告,该公告称Apache Struts2的REST插件存在远程代码执行的高危漏洞,CVE编号为CVE-2017-9805。

 

1.2漏洞概述

Struts2 REST插件的XStream组件存在反序列化漏洞,使用带有 XStream实例的 XStreamHandler进行反序列化操作时,未对数据内容进行有效验证,存在安全隐患,可被远程攻击。

 

二、漏洞复现

点击edit然后submit抓包

52-1[......]

Read more

Struts(S2-048)远程命令执行漏洞分析

天融信.阿尔法实验室 李喆 李闪

一、漏洞分析

1.1漏洞背景

Apache的Struts2是一个优雅的,可扩展的开源MVC框架,主要用于创建企业级的Java Web应用程序。在Struts 2.3.X系列的Showcase插件中演示Struts2整合Struts 1的插件中存在一处任意代码执行漏洞。当你的Web应用使用了 Struts 2 Struts 1插件, 则可能导致Struts2执行由外部输入的恶意攻击代码。

 

1.2漏洞影响

Apache Struts 2.3.x系列中启用了struts2-struts1-plugin插件的版本

 [......]

Read more

Petya勒索病毒技术分析

天融信.阿尔法实验室  李喆 李闪 王宇晟 崔伟鹏 李燕春

一、petya事件描述

1.1 漏洞背景

 

在2016年的三月到4月,petya恶意勒索软件开始传播,相对于其他勒索软件进行一个个文件加密不同的是,它采用了修改Master Boot Record(MBR) 启动引导阻止用户进入系统,并引导进了一个很小的恶意内核系统,然后再进行加密。

在2017年 6月27日晚上,根据国外报道消息,新的变种petya出现了,它在和旧版本的区别是采用了office word文档漏洞(CVE-2017-0199),通过发送邮件的方式进行传播,用户打开恶意邮件触发漏洞后[......]

Read more