快捷搜索:

您的位置:环球彩票登陆 > 环球彩票登陆 > 如何消除网络流传恶意软件的高危害【环球彩票

如何消除网络流传恶意软件的高危害【环球彩票

发布时间:2019-10-15 08:52编辑:环球彩票登陆浏览(190)

    rdesktop——Kali Linux 发行版中默认可用的较老版本开源RDP客户端。

    这些漏洞让攻击者可破解口令获取Windows凭证。

    我们正处于信息安全的转折点,我们必须意识到,传统的技术在保护用户抵御Web传统的恶意软件方面很有限。现在是时候部署其他措施来降低风险,减少或消除用户的参与,同时保护用户。分离模型很好理解,现在技术已经取得改进足以提供这种功能。

    Check Point 安全研究人员在Windows、Linux和Mac系统的远程桌面协议客户端中发现25个RDP安全漏洞,其中16个为重要漏洞。

    由于系统中不时发现关键安全漏洞,Windows操作系统要为80%的恶意软件感染负责是一个确定的事实。今年5月袭击了全球100多个国家的WannaCry勒索软件,也是Windows系统中SMB(服务器消息块)协议漏洞所致。

    此外,托管浏览器提供匿名功能,即为每个会话提供干净的浏览环境。

    mstsc.exe——微软内置RDP客户端。

    Windows系统中,LDAP保护用户不受凭证转发和中间人攻击的侵害,但由于该漏洞的存在,LDAP不再能防护住凭证转发。因此,攻击者可借此创建域管理员账户,取得对被攻击网络的完全控制权。

    Check Point 使用IDA逆向工程微软的RDP客户端,发现如果客户端使用复制粘贴功能,恶意RDP服务器可秘密释放任意文件至客户端主机的任意文件位置,仅受客户端权限限制。

    第一个漏洞(CVE-2017-8563)存在于NTLM中继的LDAP(轻量级目录访问协议)中,第二个漏洞则针对广泛使用的远程桌面协议(RDP)受限管理模式。

    网络传播的恶意软件:转折点

    Check Point 称,有15个漏洞可致远程代码执行攻击。开源客户端已发布补丁,微软却在接到漏洞报告的8周后回复称不会修复漏洞,因为尽管漏洞“有效”,却未达到微软的服务标准。

    环球彩票登陆 1

    网络传播的恶意软件:分离和隔离

    Check Point 的漏洞利用测试中,他们终结了rdpclip.exe进程,通过往每个复制粘贴操作添加恶意文件,产生出大量自己的进程去执行路径遍历攻击。

    建议访问Preempt官方博客()以获取更多技术细节。

    此外,所谓的情境分离的一种方法是沙箱。沙箱是指隔离(通常是虚拟的)环境,它限制了计算程序或进程,限制或防止它与其他程序或进程进行交互。有时候,沙箱被用作各种“鱼缸”来观看和评估可疑软件活动。还有些时候,它被用在生产环境中,运行重要功能(例如网上银行应用程序)或者其他不太重要的具有很高风险的重要功能。在上述的一种或者两种情况下,从操作环境分离浏览器可以最大限度地降低恶意软件的影响。

    行为防火墙专家Preempt公司的安全研究人员,在微软 Windows NTLM(NT局域网管理器)安全协议中发现两个关键安全漏洞,一旦被利用,可使攻击者破解口令,获得目标网络凭证。

    【编辑推荐】

    环球彩票登陆 2

    Preempt通告了微软这2个漏洞的情况,针对第一个漏洞的补丁已放出,而第二个漏洞则是微软已确知的问题。

    鉴于这种情况,分离能够很好地帮助用户安全地浏览网页。在网络上一种越来越受欢迎的分离形式是托管浏览器,这通常在完全独立的物理系统中运行,该物理系统负责与前端的网络交互,完成到用户的连接—通过映射活动到后端的用户设备。与终止连接的安全的web网关相比,托管浏览器会运行一些分析,然后转发批准的数据包(原始格式)到最终用户,托管浏览器转换这种内容,并通过专有协议(与用于桌面虚拟化的远程桌面协议或RDP类似)将其传递给最终用户。托管浏览器提供与上述沙箱类似的优势,不过是以网络的形式。现在,这是对分析型沙箱的补充,这将带来更多威胁研究和响应功能。这种优势是显而易见的:如果恶意软件程序只能访问浏览器驻留系统上的资源,我们可以分离该系统与高价值资源,从而限制恶意软件危害的能力。

    Windows安全协议现 LDAP & RDP 中继漏洞

    至于RDP,只要是Windows用户,基本都知道其用途:不用交出自己的口令就能连接可能被黑的远程主机。于是,利用NTLM所做的每一个攻击,比如凭证中继和口令破解,都可以对RDP受限管理模式进行。

    环球彩票登陆 3

    FreeRDP——GitHub上最流行也最成熟的开源RDP客户端。

    【编辑推荐】

    网络传播的恶意软件:托管浏览器

    Preempt共同创始人兼CEO阿基特·桑切蒂称:“威胁态势持续发展,凸显出现有安全协议中存在的漏洞,这2个漏洞也没什么不同。NTLM让公司企业和个人处于凭证转发和口令破解的风险之下,最终,阐明了为什么公司企业必须保持警惕,并确保其部署始终是安全的——尤其是在使用NTLM这种遗留协议的时候。”

    IT风险经理经常向最终用户讲授标准web安全建议:不要随意点击、卸载插件、定期更改密码、使用杀毒软件等,但这似乎并不奏效。所以,网络已经成为恶意软件头号传播媒介并不意外。再加上技术领域的进步,新的网络传播攻击已经开始崛起。所幸的是,我们有一些办法可以缓解与网页浏览相关的风险,特别是被恶意软件感染的风险。

    Check Point 测试了主要为Linux和Mac用户所用的开源RDP协议客户端,以及微软自己的客户端。不幸的是,尽管后者的漏洞发现工作颇为困难,开源RDP客户端及微软专有客户端均存在严重漏洞。

    分离是技术风险管理领域降低风险的长期技术,隔离是其更严格的形式。军方通常利用单个物理系统的“空间间隙”或有时候分离虚拟机来分离机密系统和非机密系统。企业很早就开始使用防火墙和其他网络设备来分离网络。为了满足支付卡行业数据安全标准或PCI-DSS、合规,企业通常会利用令牌化来在数据水平分离范围外系统。

    Check Point 分析报告:

    提供这种功能的产品包括Check Point的WebCheck、Authentic8的SILO、Light Point Security的Light Point Web和Spike Security的AirGap。

    2) 攻击连接到远程沙箱虚拟机的恶意软件研究人员,令沙箱中被测恶意软件逃逸出沙箱,渗透入企业网络。”

    现在,很多人使用网络作为其日常生活的自然延伸。无论是与朋友聊天、关注时事新闻、进行专项研究还是看电影,他们都需要使用网络。我们知道,坏人肯定也知道。

    研究团队用老式的人工代码审计就在开源客户端中发现了漏洞,都没有用到任何模糊测试技术。(模糊测试通过自动向目标输出大量数据并观察其反应来查找漏洞。观察到目标崩溃时,分析其崩溃原因有时候能揭示可被恶意第三方利用的漏洞。)

    对于恶意软件,需要记住的是:它必须运行才具有破话性。这意味着,攻击者必须在内存中部署一个程序来利用驻留系统的CPU执行其恶意行为。考虑到这一点,就不难认识到,恶意软件驻留在哪个系统对确定恶意软件破坏程度是至关重要的。企业应该将这个程序与其他生产服务分离开来,以帮助减少破坏。

    如何消除网络流传恶意软件的高危害【环球彩票登陆】。1) 攻击连接到公司网络内已感染工作站的IT人员,获取其更高权限,实现对网络系统更深层次的访问。

    因此,路径遍历漏洞并未获得CVE编号,且没有官方补丁可用。

    RDP常被技术型用户和IT人员用于连接远程计算机,是微软开发的专有协议。

    Itkin的团队查找了利用终端用户主机提升网络权限的方法,可以让攻击者在目标的基础设施内更方便地拓展。

    如何消除网络流传恶意软件的高危害【环球彩票登陆】。相关阅读

    Check Point 的 Eyal Itkin 对下列客户端进行了漏洞测试:

    如何消除网络流传恶意软件的高危害【环球彩票登陆】。RDP漏洞:作怪的剪贴板

    微软RDP客户端的代码比开源客户端代码好上几个数量级,有多层优化驱动高效网络视频流,有健壮的输入检查及解压检查以保证目标缓冲区不会被溢出。因此,Check Point 不得不用其他更高端的机制来发现其中缺陷。

    Check Point 的测试样例包括:

    邪恶像素:远程通过显示器像素值渗漏数据

    另外,鉴于微软RDP客户端存在剪贴板使用上的漏洞,我们建议用户在连接到远程主机时禁用剪贴板共享。

    简言之,客户端和服务器之间通过剪贴板共享数据,但该渠道上的数据流未经恰当清洗,是可以被利用的。

    比如说,我们可以将恶意脚本释放到客户端的‘开始’文件夹。这样一来,当客户端主机重启,恶意脚本就能在这台机器上执行,我们会获得该主机的完整控制权。

    由于RDP使用广泛,Check Point 强烈建议用户修复自身RDP客户端。

    本文由环球彩票登陆发布于环球彩票登陆,转载请注明出处:如何消除网络流传恶意软件的高危害【环球彩票

    关键词: 环球彩票登陆 漏洞 安全 种方法 远程桌面