Windows RPC 运行时中的严重远程代码执行漏洞

已于 2024-08-25 09:39:33 修改
阅读量832 收藏 5
点赞数 11
分类专栏: 网络安全这些事 文章标签: windows rpc 网络协议
于 2024-08-23 23:06:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_51524329/article/details/141476447
版权

微软于 2022 年 4 月的补丁星期二发布了针对各种组件中一百多个新漏洞的补丁。在 Windows 远程过程调用 (RPC) 运行时中发现并修补了三个严重漏洞:

  1. CVE-2022-24492CVE-2022-24528 (由 Cyber KunLun 的 Yuki Chen 发现)
  2. CVE-2022-26809(由 Kunlun 的 BugHunter010 发现)

在这篇博文中,我们将提供有关其中两个漏洞的信息、其利用的含义、影响范围以及如何缓解这些漏洞。

我们最近撰写了一篇关于RPC 过滤器的指南,这是一种用于限制和阻止 Windows 机器上和之间的 RPC 流量的工具。虽然我们尚未确定 RPC 过滤器是否是针对所讨论漏洞的适用解决方案&

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Windows远程桌面授权远程代码执行漏洞CVE-2024-38077(POC、EXP)
墨痕诉清风的博客
09-10 978
成功利用该漏洞的攻击者可以实现远程代码执行,控制受影响的服务器,潜在的危害包括数据泄露、系统崩溃,甚至可能被用于传播勒索等恶意软件。需要注意的是,RDL 服务并非默认启用,但许多管理员会手动启用它以扩展功能,例如增加远程桌面会话的数量(默认情况下,Windows 服务器仅允许两个并发会话)。远程攻击者通过发送精心构造的请求的方式利用此漏洞,成功利用将允许攻击者远程代码执行,获得服务器的最高权限。**批量可利用性:**可使用通用 POC/EXP,批量检测/利用。**修复复杂度:**低,官方提供补丁修复方案。
[漏洞挖掘与防护] 02.漏洞利用之MS08-067远程代码执行漏洞复现及深度防御
杨秀璋的专栏
07-14 1113
上一篇文章将详细介绍Windows远程桌面服务漏洞(CVE-2019-0708),该高危漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击。这篇文章将详细讲解MS08-067远程代码执行漏洞(CVE-2008-4250)及防御过程,它是Windows Server服务RPC请求缓冲区溢出漏洞,利用445端口,并通过Metasploit工具获取shell及进行深入的操作。希望对入门的同学有帮助。
RPC漏洞_MS03-026
嘟的博客
07-11 1739
漏洞原理:微软修改dcerpc框架后形成自己的RPC框架来处理进程间的通信。微软的RPC框架在处理TCP/IP信息交换过程中存在的畸形消息,未正确处理,导致缓冲区溢出漏洞;此漏洞影响使用RPC框架的DCOM接口,DCOM接口用来处理客户端机器发送给服务器的DCOM对象**请求,如UNC路径。msf使用windows/dcerpc/ms03_026_dcom模块,payload使用windows/shell/reverse_tcp。目标靶机为windows xp,端口135。执行whoami命令。
探索 RPC 运行中的三个远程代码执行漏洞
技术超强的网络安全平台
08-23 582
MS-RPCWindows 网络中使用率较高的协议,许多服务和应用程序都依赖它。因此,MS-RPC 中的漏洞可能会导致严重后果。Akamai 安全情报小组在过去一年中一直致力于 MS-RPC 研究。我们发现并利用了漏洞,构建了研究工具,并记录了该协议的一些未记录的内部细节。虽然之前的博客文章重点关注服务中的漏洞,但这篇文章将研究 RPC 运行(MS-RPC 的“引擎”)中的漏洞。这些漏洞类似于我们在 2022 年 5 月发现的漏洞
漏洞还原及验证环境构建-Microsoft Windows Server服务RPC请求缓冲区溢出漏洞(MS08-067)-【CNVD-2008-5105】-【CVE-2008-4250】
qq_44394952的博客
01-19 5665
1.漏洞详情信息表: 2.系统和软件环境配置详情信息表: 虚拟机软件:vmware workstation 14 系统:Windows XP 系统、Kali系统 环境配置:(1)受害机:Windows XP SP3镜像(2)攻击机:Kali系统 3.漏洞还原详细步骤: (1)虚拟机受害机系统和攻击机系统之间能够相互通信 攻击机:Kali-192.168.110.129 目标机:Windows XP-192.168.110.128 (2)打开Windows XP系统,确定445端口开启。 输入“nets
Windows Server服务 RPC 缓冲区远程溢出漏洞ms08-067复现
qq_63539335的博客
06-27 1026
渗透练习:Windows Server服务 RPC 缓冲区远程溢出漏洞(ms08-067)复现,nmap,msf模块利用
RPC漏洞
weixin_33782386的博客
10-02 665
DCOM漏洞:利用这个漏洞攻击者只需发送特殊形式的清求到远程计算机上的135端口,轻则会造成拒绝服务攻击,严重的甚至可以让远程攻击者以本地管理员权限执行任何操作。 攻击过程:扫描也可用xscan+DCOMRPC接口组件 http://wenku.baidu.com/link?url=YDcM69B46bT_ZhByQYrdzx8iwrRjMxc0Ijgi9DMqbIY3wX7cCB7d5...
[系统安全] 十.Windows漏洞利用之SMBv3服务远程代码执行漏洞(CVE-2020-0796)及防御详解
杨秀璋的专栏
12-30 5426
系统安全系列作者将深入研究恶意样本分析、逆向分析、攻防实战和Windows漏洞利用等,通过在线笔记和实践操作的形式分享与博友们学习,希望能与您一起进步。前文介绍了MS08-067远程代码执行漏洞(CVE-2008-4250),它是Windows Server服务RPC请求缓冲区溢出漏洞,利用445端口。这篇文章将详细讲解SMBv3服务远程代码执行漏洞(CVE-2020-0796),攻击者可能利用此漏洞远程无需用户验证,通过发送构造特殊的恶意数据导致在目标系统上执行恶意代码,从而获取机器的完全控制,利用的端口
RPC漏洞的通用分析方法(图)
瞎几把学
01-11 2832
 作者:Friddy一.工具准备1.IDA Pro Advanced 5.2(强大的静态逆向工具)2.HexRays(强大的可以将汇编代码转换为高质量的C代码的IDA插件)3.mIDA(极好的抽象RPC接口的IDA插件)二.找到溢出点1.补丁比较。(1)保留没有更新的文件到文件夹Old(2)打补丁,将更新后的文件放到文件夹New(3)使用“Darun Grim”等类似的补丁比较工具进行
Microsoft Remote Procedure Call Runtime 远程代码执行漏洞(CVE-2022-26809)
LiBai'S BLOG
05-12 6680
CVE-2022-26809 RCE CVE 描述 CVE-2022-26809 - 核心 Windows 组件 (RPC) 的弱点获得 9.8 的 CVSS 分数并非没有原因,因为攻击不需要身份验证并且可以通过网络远程执行,并且可能导致远程代码执行 ( RCE) 具有 RPC 服务的权限,这取决于托管 RPC 运行的进程。运气好的话,这个严重的错误允许访问运行 SMB 的未打补丁的 Windows 主机。该漏洞既可以从网络外部被利用以破坏它,也可以在网络中的机器之间被利用。 https://msrc
RPC漏洞攻击
04-12
一点点小技术 值得下载的呵呵 众所周知RPCRPC攻击是黑客攻之手段的
利用RPC远程攻击攻击WINDOWS的源程序
11-25
利用RPC远程攻击Windows Remote Procedure Call (RPC)是Windows 操作系统使用的一种远程过程调用协议。RPC提供进程间交互通信机制,允许在某台计算机上运行程序的无缝地在远程系统上执行代码。MicrosoftRPC部分在通过TCP/IP处理信息交换存在多个远程堆缓冲区溢出问题,远程攻击者可以利用这些漏洞以本地系统权限在系统上执行任意指令。这些漏洞是由于不正确处理畸形消息所致,攻击者通过向目标发送畸形RPC DCOM请求来利用这些漏洞
rpc漏洞扫描
04-07
漏洞
scanms.exe 文件用来检测RPC漏洞
03-15
对单台机器进行检测。如 scanms.exe 10.0.0.1。 attack.exe 用来对目标进行机器进行溢出攻击,并添加用户名/密码为:qing10/qing10的管理员账号。
我的windows系统可能存在的漏洞
最新发布
好好学习,天天向上
09-13 221
其实不是这样的,因为windows默认会提供很多服务,比如远程调用的那个服务就是一直开启的,还有一些奇怪的服务也是开启的,如果扫描会发现,有端口是打开的。弱点就在这些打开的端口里面。假设我扫描自己的i电脑会发现:一个端口都没有打开的。
[严重]Microsoft Windows DNS服务器RPC接口远程栈溢出漏洞
葉落堂
04-17 3503
危害级别:★★★★★★ 影响版本:Microsoft Windows Server 2003 SP2Microsoft Windows Server 2003 SP1Microsoft Windows 2000SP4
RPC服务远程漏洞
南城无笙的Blog
02-28 3908
RPC全称为:Remote Procedure Call,默认为开启状态,是严重的攻击点,此文章将介绍防御方法: 1 及为系统打补丁: 此种方法最为直接也最为有效,打补丁需要注意好补丁是否对应系统版本。 2关闭RPC服务:此方法最为彻底,但是影响也很大,Windows很多服务都依赖RPC服务,所以不推荐此种防护方式,关闭方法:开始菜单——设置——控制面板——管理工具——双击【服务】,打开【服务...
RPC 运行,第二次:发现新的漏洞
技术超强的网络安全平台
08-23 1106
2022 年 4 月 12 日,微软发布了针对远程过程调用 (RPC) 运行库 (rpcrt4.dll) 中三个漏洞的补丁。和。受影响的操作系统包括 Windows 7、8、10 和 11,以及 Windows Server 2008、2012、2019 和 2022。利用这些漏洞远程未经身份验证的攻击者可以利用 RPC 服务的权限在易受攻击的计算机上执行代码。此功能既可用于破坏网络,也可用于执行横向移动,因此是攻击者和勒索软件运营商所期望的。微软将这些漏洞标记为可能被利用。
区块链中“鸡肋”的RPC漏洞
Fly_鹏程万里
01-08 1554
一、前言——NEO RPC漏洞之争 12月1日下午16:34,腾讯湛卢实验室宣布发现NEO的RPC漏洞。官微发文如下: 而NEO官方微博,在四个小之后迅速回应腾讯,回应如下。 谁对谁错?公链RPC模块安全情况到底如何? 二、RPCRPC漏洞介绍 首先介绍下RPC远程过程调用(Remote Procedure Call)是一个计算机通信协议。该协议允许运行于一台计算机的程序调...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值