IT审计软件Auditor曝高危漏洞，可执行任意代码破坏AD域控

最近的网络安全研究中，研究人员披露了有关 Netwrix Auditor 应用程序中的安全漏洞的详细信息，如果成功利用该漏洞，可以在受影响设备上执行任意代码。由于该服务通常在 Active Directory 域控环境中以广泛的权限执行，因此攻击者很可能能够破坏 AD域控。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，Auditor是一个审计和可视化平台，使组织能够从一个控制台获得其整体 IT 基础设施的统一视图，包括 AD域控、Exchange邮件服务、文件服务器、SharePoint、VMware等系统。

Auditor所属的软件公司Netwrix 在 100 多个国家和地区拥有超过1.1万名客户，包括空客公司、维珍航空、国王学院医院等。

该漏洞影响 Auditor 10.5 之前的所有版本，被描述为不安全的对象反序列化，当解析不受信任的用户可控数据以造成远程代码执行攻击时，就会发生这种情况。

该漏洞的根本原因是一个不安全的 .NET 远程处理服务，该服务可在 Netwrix 服务器上的 TCP 端口 9004 上访问，使攻击者能够在服务器上执行任意命令。由于该命令是使用 NT AUTHORITY\SYSTEM 权限执行的，因此利用此漏洞将使得攻击者可以完全破坏 Netwrix 服务器。