标签: Cisco Talos

所有 Windows 版本均受影响 Cisco Talos 发现一个高危提权漏洞

计算机安全组织 Cisco Talos 发现了一个新的漏洞,包括 Windows 11 和 Windows Server 2022 在内的所有 Windows 版本均受影响。该漏洞存在于 Windows 安装程序中,允许攻击者提升自己的权限成为管理员。 在发现该漏洞之后,Cisco Talos 集团升级了自己的 Snort 规则,该规则由检测针对一系列漏洞的攻击的规则组成。更新后的规则清单包括零日特权提升漏洞,以及针对浏览器、操作系统和网络协议等新兴威胁的新规则和修改后的规则。 利用该漏洞,拥有部分权限的用户可以提升自己的权限至系统管理员。这家安全公司已经在互联网上发现了恶意软件样本,这表明可能已经有黑客利用该漏洞发起攻击。 此前,微软的安全研究员 Abdelhamid Naceri 向微软报告了这个漏洞,据说在 11 月 9 日用 CVE-2021-41379 修复了该漏洞。然而,这个补丁似乎并不足以解决这个问题,因为这个问题仍然存在,导致Naceri在GitHub上发布了概念证明。 简单地说,这个概念证明显示了黑客如何利用微软Edge提升服务的酌情访问控制列表(DACL)将系统上的任何可执行文件替换为MSI文件。 微软将该漏洞评为”中等严重程度”,基本CVSS(通用漏洞评分系统)评分为5.5,时间评分为4.8。现在有了功能性的概念验证漏洞代码,其他人可以尝试进一步滥用它,可能会增加这些分数。目前,微软还没有发布一个新的更新来缓解这个漏洞。   (消息及封面来源:cnBeta)

罗克韦尔 Allen Bradley MicroLogix 1400 系列工控设备曝多项严重漏洞

罗克韦尔自动化公司的 Allen-Bradley MicroLogix 1400 可编程逻辑控制器( PLCs )被用于各种不同的工业控制系统(ICS)的应用和流程,这些 PLCs 设备为不同的关键基础设施部门执行关键过程控制功能提供了一定支撑。 但近日, Cisco Talos 却在 PLCs 中发现了一些安全漏洞,可以被用来修改设备配置和梯形逻辑、将修改后的程序数据写入到设备的内存模块、从设备的内存模块中删除程序数据、以及对受影响的设备进行拒绝服务攻击等。根据工业控制过程中受影响的 PLCs 来看,漏洞可能还会导致更严重的损害。 Allen-Bradley MicroLogix 1400 B 系列漏洞详情: 以太网卡格式错误的数据包拒绝服务漏洞(TALOS-2017-0440 / CVE-2017-12088) 该漏洞允许未经身份验证的攻击者发送特制数据包,从而使受影响的设备进入电源循环并进入故障状态,这种情况会导致先前存储在设备上的梯形逻辑被删除。需要注意的是,这个漏洞不是通过以太网/ IP 协议来利用的,因此使用 RSLogix 来禁用以太网/ IP 不会提供有效的缓解。 梯形图逻辑程序下载设备故障拒绝服务漏洞(TALOS-2017-0441 / CVE-2017-12089) 该漏洞允许未经身份验证的攻击者发送导致拒绝服务条件的特制数据包。该漏洞位于受影响设备的程序下载功能中,允许攻击者通过发送“ 执行命令列表 ”(CMD 0x0F,FNC 0x88)数据包而不使用“下载完成”( CMD 0x0F, FNC 0x52 )来强制设备进入故障状态( CMD 0x0F,FNC 0x52)。当出现这种情况时,设备会将此作为故障状态处理,进入非用户故障模式,从而导致设备停止正常操作并删除任何存储的逻辑。 SNMP 集处理不正确的行为顺序拒绝服务漏洞(TALOS-2017-0442 / CVE-2017-12090) 该漏洞与固件更新期间设备处理“ snmp-set ”命令的方式有关,可能会允许经过身份验证的攻击者在受影响的设备上发生拒绝服务条件。通过发送特制的’snmp-set’命令而不是发送通常与在固件更新过程中最终命令关联的后续’snmp-set’命令,攻击者可以迫使该设备在重新启动过程中无法使用。 未经身份验证的数据/程序/功能文件访问控制漏洞不正确(TALOS-2017-0443 / CVE-2017-14462 – CVE-2017-14473) 该漏洞与受影响设备上的文件访问控制不当有关。该漏洞允许未经身份验证的攻击者对存储在设备上的文件执行读取和写入操作,这可以用于从受影响的设备中检索敏感信息(包括设备主密码)、修改设备设置或梯形图逻辑、或导致设备进入导致拒绝服务条件的故障状态。 内存模块存储程序文件写入漏洞(TALOS-2017-0444 / CVE-2017-12092) 该漏洞允许未经身份验证的远程攻击者将在线程序写入受影响设备上已安装的内存模块。攻击者可以使用它来存储程序修改,直到设备重新启动后才能生效。随后,攻击者可以将新存储的程序与“加载内存模块的内存错误”设置结合使用来修改系统设置,从而导致启用的服务发生更改。 PLC 会话通信资源池拒绝服务漏洞不足(TALOS-2017-0445 / CVE-2017-12093) 该漏洞存在于受影响设备的会话连接功能中,默认情况下,这些设备最多支持 10 个同时连接。一旦达到最大值,设备将终止最早的连接,以在连接池中为新连接腾出空间。未经身份验证的攻击者可以在一段时间内发送多个“ Register Session ”数据包,以强制终止合法连接,并阻止对受影响设备建立额外的合法连接。 Cisco Talos 经过测试已经确认以下版本受到漏洞影响: Allen-Bradley Micrologix 1400 B系列FRN 21.003 Allen-Bradley Micrologix 1400 B系列FRN 21.002 Allen-Bradley Micrologix 1400 B系列FRN 21.0 Allen-Bradley Micrologix 1400 B系列FRN 15 由于这些设备通常用于支持关键的工业控制过程,因此建议将受影响设备升级到最新版本的固件,以便不再受到这些漏洞的影响。 消息来源:Cisco Talos,编译:榆榆,审核:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。