Netwrix Auditor 新漏洞可导致Active Directory 域遭攻陷

最新推荐文章于 2024-05-21 15:14:29 发布
最新推荐文章于 2024-05-21 15:14:29 发布
阅读量262 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: linux 安全 java windows 大数据
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247512952&idx=1&sn=0417a425e220e5029680dbbcc90edb81&chksm=ea948212dde30b04f9d841c9d24e46e862739ba6ba46b5eab8856eebc2bb5228f64cc5056680&scene=126&&sessionid=0
Netwrix Auditor中的新漏洞可能导致远程代码执行,影响广泛部署的ActiveDirectory环境。建议升级至10.5版本以修复此不安全对象反序列化问题。知名客户如Airbus等已受影响,务必及时更新以防止潜在攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

dbc74d815566b9acf5283870a9824c32.gif 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

安全研究员详述了在 Netwrix Auditor应用中的一个安全漏洞(CVE编号尚未分配)。攻击者可利用该漏洞在受影响设备上执行任意代码。

Bishop Fox 在上周发布的安全公告中指出,“由于该服务一般是在 Active Directory 环境中以广泛权限执行的,因此攻击者可能能够攻陷 Active Directory 域。”

Auditor 是一个审计和可见性平台,可使组织机构从单个控制台就对IT环境具有完整视图,包括 Active Directory、Exchange、文件服务器、SharePoint、VMware 以及其它系统。该软件背后的公司 Netwrix声称,100多个国家的1.15万名客户都在使用该软件,如Airbus、Virgin、King’s College Hospital以及 Credissimo等。

该缺陷影响10.5之前的所有受支持版本,是一个不安全的对象反序列化漏洞。当不受信任的用户可控制数据被解析造成远程代码执行攻击时就会发生。该漏洞的根因在于,不安全的.NET远程服务可从Netwrix 服务器的TCP 端口9004上访问,使恶意软件可在服务器上执行任意命令。

Bishop Fox 公司的研究员 Jordan Parkin 指出,“由于该命令是以 NT AUTHORITY\SYSTEM 权限执行的,因此利用该漏洞可导致攻击者完全攻陷 Netwrix 服务器。”建议依赖 Auditor 的组织机构将软件更新至在6月6日发布的最新版本 10.5中,阻止潜在风险。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

微软:这两个活动目录漏洞可使攻击者轻易接管 Windows 域名

或许你不该痴情于 NetWare:微软的活动目录软件可遭绕过

QakBot银行木马导致大量活动目录用户被锁

“万能钥匙”恶意软件绕过活动目录

原文链接

https://thehackernews.com/2022/07/new-netwrix-auditor-bug-could-let.html

题图:Pixabay License‍

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

ef837f96cf1700abf2a9c84f6adebe37.jpeg

4c12505914688f62645a14fa2f620ad5.jpeg

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   88e564746fddb08bf205a8a3a3fa5781.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

靶场场景 Active Directory 权限提升漏洞(CVE-2022-26923)
ZetaByte的博客
05-29 761
近日,Active Directory 服务组件被爆出存在特权提升漏洞,蛇矛实验室率先构建出了完整的靶场复现和利用环境,目标环境是基于"火天网演攻防演训靶场"进行搭建,通过火天网演中的环境构建模块,可以灵活的对目标网络进行设计和配置,并且可以快速进行场景搭建和复现工作。
Active Directory中常见的安全问题及解决方案
weixin_33851429的博客
09-14 2903
本文讲的是Active Directory中常见的安全问题及解决方案,过去这几年与客户的会面是十分有启发性的,因为虽然每个环境都很独特,但往往却遇到了同样的问题。这些问题往往归结为企业使用了十年以上的旧版微软管理平台。 我在今年的几个安全会议上谈到了Active Directory攻击和防御,包括BSides,Shakacon,Black Hat,DE...
Netwrix.Auditor.Enterprise.v7.0.127
09-30
主要用于服务器操作,登录的审计,非常方便便于日常审核。
数据库审计---首选Netwrix的SQLsever数据库 审计工具
weixin_33968104的博客
10-26 686
数据库审计----首选Auduit for Netwrix SQLSever数据库审计概念审计,英文称之为“audit”,检查、验证目标的准确性和完整性,用以防止虚假数据和欺骗行为,以及是否符合既定的标准、标竿和其它审计原则。信息技术审计,是一个信息技术( IT )基础设施控制范围内的检查。信息系统审计是一个通过收集和评价审计证据,对信息系统是否能够保护资产的安全、维护数据...
Netwrix 7.0
05-29
很好用的网络管理工具,尤其是AD环境下的管理。Gain complete visibility and control over what's going on in your hybrid IT environment.
「运维有小邓」你知道吗?你的 Active Directory 存在安全漏洞
运维有小邓
04-08 1319
ADSelfService Plus是一款自助的AD密码管理方案。其实现了用户自助远程密码管理。用户可以在家,或除单位的其他地方对密码进行重置。
Netwrix Auditor Enterprise v7.0.127版本深度审计服务器操作
标题“Netwrix.Auditor.Enterprise.v7.0.127”指的是Netwrix公司发布的一款名为Netwrix Auditor Enterprise的软件,版本号为7.0.127。Netwrix Auditor Enterprise是一款专门针对服务器操作和登录审计而设计的软件...
ChangeAuditor for Active Directory产品简介.docx
最新发布
10-17
ChangeAuditor for Active Directory 是由Quest Software开发的一款产品,专注于确保关键业务网络架构核心的Active Directory(AD)的安全与控制。产品简介中,详细阐述了AD在企业中所扮演的重要角色,以及企业面临的...
简化AD审计的工具Domain Auditor发布
Domain Auditor的编写初衷是为了解决一个具体问题——跟踪活动目录(Active Directory,简称AD)中的“池”账户。在大型企业或组织的AD环境中,账户的管理和审计是一个复杂且耗时的过程。由于安全和合规性的要求,...
AntiXSS-Auditor:查找 AntiXSS 漏洞的审计助手
05-30
查找 AntiXSS 漏洞的审计助手 安装 克隆此 repo,并通过 chrome 扩展页面手动将其加载为“未打包的扩展”。 用法 打开 Chrome DevTools 并导航到“AntiXSS-Auditor”面板。 谢谢 用于Konrad 作者 文森特·德劳内 ...
文件服务器审计---首选Netwrix文件服务器审计工具
weixin_34268310的博客
11-04 853
文件服务器审计---首选Netwrix文件服务器审计工具为了遵守外部法规和确保业务连续性,企业需要审核他们的文件服务器,以确保防止敏感数据泄漏和未经授权的修改。看到论坛很多类似的讨论,而且微软自带的审计策略往往不能满足IT的所有需求。常常通过第三方的软件来实现文件服务器的审计功能。NetwrixWindows文件服务器工具有免费版本的变更通知工具以及收费版本的审计工具。可以自...
eventlogmanager
08-29
NetWrix事件日志管理器是一个免费的事件日志的管理工具与审计日志巩固和存档功能。该工具收集和整合的Windows事件日志,从多个服务器和档案在一个中心位置。 档案存放在原EVT格式,压缩和可使用事件查看器或进口到一个SQL数据库,用于快速报告。
Windows 文件系统审核完整指南
allway2的博客
05-21 1477
文件系统审计对于网络安全和取证分析至关重要。在 Windows 中启用文件系统审核涉及更组策略和启用“审核对象访问”选项。使用 Windows 事件查看器可以查看审核事件,并了解谁访问了、更改或删除了文件。解释审核事件可能很复杂,了解事件 ID 非常重要。本机 Windows 文件审核具有局限性,但可伸缩性和事件筛选的注意事项可以帮助克服这些限制。Netwrix Auditor for Windows File Server 等第三方解决方案提供了增强的审核功能。
xray Web扫描器学习记录
weixin_50464560的博客
06-06 4569
简介项目地址:https://github.com/chaitin/xray 长亭科技研发的一款完善的安全评估工具,支持常见Web安全问题扫描和自定义POC,虽然Github有项目,但是不开源,只提供社区版本供大家使用。 基本使用代理模式代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重发送请求进行扫描。这种原理和Burpsuite的自带的漏扫原理是一样的。 生成ca证书Bash# 生成 .
春秋云境 Certify WP
m0_62466350的博客
01-18 2127
本文首发作者博客园Certify是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对环境核心认证机制的理解,以及掌握环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
春秋云境Certify-WP【一遍过】
weixin_63576152的博客
10-12 1372
这里有几个用户名被修改成*了 因为都是些个人的账号密码,再联系前面扫到的三个3389端口,尝试爆破172.22.9.26(控和CA不大可能,172.22.9.26这个内机器是最有可能的)开代理,先看172.22.9.47 文件服务器,刚好也开了445端口(TCP端口),直接可以连接。扫描可以看到一个solr,solr一般会有log4j漏洞,看到有log4j组件。再次远程连接172.22.9.26,成功,但是没有管理员权限,所以没什么用处。导出数据,编为字典user.txt和pass.txt,爆破。
vulntarget-L(星期五实验室)
ka_ka11的博客
03-20 2014
这个EXCHANGE$就是当前exchang机器的机器用户,而有这个用户的权限是用户组的WriteDACL权限,WriteDACL权限可以修改对象的ACL,允许委托人修改受影响对象的DACL。我直接在exchange上添加一个网卡,直接进行反弹,后面再看看能不能通过goproxy代理,上线,模拟刚才我们获得system权限,我们进行提权。修改ip地址为自动,修改dns地址为114.114.114.114,修改完成应用,重。修改tenda 端口转发的地址,修改为自己的出网的ip地址。
春秋云境2022网鼎杯半决赛-WP【一遍过】
weixin_63576152的博客
10-17 1652
注意,这里的certipy不是出现命令不存在kali让你下载的那个,这个是个打CVE-2022–26923的工具:https://github.com/ly4k/Certipy/打开http://172.22.15.24/phpmyadmin用账号和密码登了一下,发现有个表有一堆账户。(脚本链接:https://github.com/AlmondOffSec/PassTheCert/)wordpress,打开http://39.99.137.31/wp-admin。原来是**校园网,后来换热点就可以了。
安装 Active Directory 证书服务的时候没有Certsrv
weixin_30537391的博客
09-17 1218
Windows Server 的时候一直没有Certsrv这个目录。 需要检查一下在IIS中网站的ID顺序。 默认使用ID为1的。 转载于:https://www.cnblogs.com/qiumc/p/11533643.html
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值