Part1 前言
大家好,我是ABC_123。一年一度的大考即将开始了,坊间确切消息,某EDR的服务端存在RCE的0day漏洞,具体影响版本不详。这里ABC_123给大家提供一个临时的加固方案,有其他修补建议欢迎在文末给我留言。
Part2 研究过程
一般一个单位最快出局的方法就是:外网打一个点或者钓鱼邮件获取权限,内网使用0day/1day干掉集权类系统,然后下发命令或者直连靶标,随后该单位直接出局。
所以这种0day危害特别大,跟几个朋友讨论了一下,给出的临时加固方案如下:
1 EDR服务端所在机器异构化。可以装个强杀软或者其它的EDR客户端辅助一下,当然需要提前测好兼容性,防止两个产品打架。
2 EDR服务端设置IP访问白名单。只允许EDR的Agent的IP进行访问,防止从业务段Web系统的IP直接访问。
3 限制EDR服务端与靶标的文件下发和远控能力。防止EDR服务端被搞下,直连靶标,导致该单位直接出局。
4 EDR服务端设置监控。做好数字签名新增监控,对重点文件的增、删、改、查,命令执行监控等等,这里就不细说了。
5 限制终端EDR服务端出网。增加内网代理及内网横向的难度。
公众号专注于网络安全技术,包括安全咨询、APT事件分析、红队攻防、蓝队分析、渗透测试、代码审计等,99%原创,敬请关注。
Contact me: 0day123abc#gmail.com
(replace # with @)
原文始发于微信公众号(希潭实验室):速报:某EDR产品服务端RCE 0day漏洞临时加固方案
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论