最近的网络安全研究中,研究人员披露了有关 Netwrix Auditor 应用程序中的安全漏洞的详细信息,如果成功利用该漏洞,可以在受影响设备上执行任意代码。由于该服务通常在 Active Directory 域控环境中以广泛的权限执行,因此攻击者很可能能够破坏 AD域控。
根据中国网络安全行业门户极牛网(GeekNB.com)的梳理,Auditor是一个审计和可视化平台,使组织能够从一个控制台获得其整体 IT 基础设施的统一视图,包括 AD域控、Exchange邮件服务、文件服务器、SharePoint、VMware等系统。
Auditor所属的软件公司Netwrix 在 100 多个国家和地区拥有超过1.1万名客户,包括空客公司、维珍航空、国王学院医院等。
该漏洞影响 Auditor 10.5 之前的所有版本,被描述为不安全的对象反序列化,当解析不受信任的用户可控数据以造成远程代码执行攻击时,就会发生这种情况。
该漏洞的根本原因是一个不安全的 .NET 远程处理服务,该服务可在 Netwrix 服务器上的 TCP 端口 9004 上访问,使攻击者能够在服务器上执行任意命令。由于该命令是使用 NT AUTHORITY\SYSTEM 权限执行的,因此利用此漏洞将使得攻击者可以完全破坏 Netwrix 服务器。
极牛网精选文章《IT审计软件Auditor曝高危漏洞,可执行任意代码破坏AD域控》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/20152.html