我的一个服务器已经发现了两个紧急(严重性5)漏洞。 Qualys扫描报告确实提供了有关这些漏洞的许多细节,例如解决方案,修补程序,链接等。

应用补丁

不幸的是,即使我已经下载了正确的修补程序并应用于此服务器。它仍然显示这些漏洞。

您可以在帖子结束时找到有关它们的详细信息。

重点是,有额外的额外步骤您必须做些措施来弥补这两个漏洞。

Microsoft组策略远程执行漏洞(MS15-011)修复

为了基于KB的Microsoft组策略远程执行漏洞(MS15-011)MS15-011:组策略中的漏洞可能允许远程执行代码:2015年2月10日,微软建议所有NetLogon和Sysvol股份都配置为需要相互认证和完整性,以帮助保护组策略免受可以利用以实现远程代码执行的欺骗和篡改攻击。

硬化的Unc路径

价值名称 价值
\\ * \ netlogon Requiremutualauthentication = 1,quartitegrity = 1
\\ * \ sysvol Requiremutualauthentication = 1,quartitegrity = 1

Microsoft组策略远程执行漏洞(MS15-011)修复

由于Qualys结果清晰显示有一些注册表项丢失,最简单的方法是在应用补丁后手动添加此键。

HKLM \ Software \ Microsoft \ InternetExplorer \ main \ featurecontrol \ feature_allow_user32_exception_handler_hardening iexplore.exe缺失。

在两个手动额外的更改完成后,扫描结果显示在严重程度5调查结果上。

附录

 5
Microsoft组策略远程执行漏洞(MS15-011)
 

QID.:
91017
类别:
视窗
CVE.ID:
CVE.-2015-0008.
供应商参考
MS15-011
Bugtraq ID:
72477
服务修改:
02/05/2020
用户修改:
编辑:
PCI奢华:
是的
威胁:
安全更新通过改进在组策略接受配置数据之前,通过改进域配置的系统如何连接到域控制器来解决漏洞。

此安全更新对于所有支持的Windows Server 2003,Windows Vista,Windows Server 2008,Windows 7,Windows Server 2008 R2,Windows 8,Windows Server 2012,Windows RT,Windows RT,Windows 8.1,Windows Server 2012 R2和Windows RT 8.1.
注意:Windows 2003没有释放的更新。该漏洞要求用户将其计算机连接到不受信任的网络,例如咖啡店中的Wi-Fi热点;因此,连接到不受信任的网络的工作站大多数受到这种漏洞的风险。
QID.检测逻辑(经过身份验证):
操作系统:Windows Vista,Windows Server 2008,Windows Server 2008 R2,Windows 7,Windows 8,Windows RT,Windows RT 8.1,Windows Server 2012
此QID检查%Windir%\ system32 \ gpsvc.dll的文件版本
检查以下KBS:
补丁版本为6.0.6002.19279(kb3000483)
补丁版本为6.0.6002.23588(kb3000483)
补丁版本为6.1.7601.18711(KB3000483)
补丁版本为6.1.7601.22917(KB3000483)
补丁版本为6.2.9200.17225(KB3000483)
补丁版本为6.2.9200.21339(kB3000483)
补丁版本为6.3.9600.17630(kb3000483)
此外,注册表项 - HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \组策略\历史记录 - 检查系统是否已连接到域。如果是,则检查KB3000483中提到的最小建议设置后: -
1.注册表项 - hklm \ software \ policies \ microsoft \ windows \ networkprovider \ hyledentpaths,具有值“netlogon”包含数据 - requilemutualauthentication = 1,reastitegrity = 1
2.注册表项 - hklm \ software \ policies \ microsoft \ windows \ networkprovider \ hirtenedpaths,具有值“sysvol”包含数据 - requilemutualauthentication = 1,reastitegrity = 1
  Value Name    Value
  \\*\NETLOGON   Requiremutualauthentication = 1,quartitegrity = 1
  \\*\SYSVOL   Requiremutualauthentication = 1,quartitegrity = 1
影响:
如果攻击者使用域配置的系统来连接到攻击者控制网络,则该漏洞可能允许远程执行代码执行。

解决方案:
参考MS15-011获取进一步的补丁信息。

在某些环境中,要完全保护漏洞,除了部署此安全更新外,还需要系统管理员的其他配置。请参阅Microsoft知识库文章KB3000483.获得进一步的信息。
修补:
以下是下载修补程序以修复漏洞的链接:
遵守:
不适用
剥削性:
参考:
CVE.-2015-0008.
描述:
Microsoft Windows组策略远程执行漏洞利用(MS15-011) - 核心安全类别:漏洞/遥控器
参考:
CVE.-2015-0008.
描述:
Microsoft Windows Server 2012 - '组策略'远程执行 - Exploit-DB Ref:47558
关联:
http://www.exploit-db.com/exploits/47558
参考:
CVE.-2015-0008.
描述:
Microsoft Windows组策略远程执行漏洞利用(MS15-011) - MWR InfoSecurity
关联:
//labs.mwrinfosecurity.com/blog/practically-exploiting-ms15-014-and-ms15-011/
相关恶意软件:
此漏洞没有恶意软件信息。
结果:
HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \组策略\历史历史统计数据名。
KB3000483.中提到的MS15-011的最低建议设置不适用于目标。
 5
Microsoft Internet Explorer累计安全更新(MS15-124)
 

QID.:
100269
类别:
IE浏览器
CVE.ID:
CVE.-2015-6083 CVE.-2015-6134. CVE.-2015-6135. CVE.-2015-6136 CVE.-2015-6138. CVE.-2015-6139. CVE.-2015-6140 CVE.-2015-6141. CVE.-2015-6142 CVE.-2015-6143. CVE.-2015-6144. CVE.-2015-6145. CVE.-2015-6146 CVE.-2015-6147. CVE.-2015-6148 CVE.-2015-6149. CVE.-2015-6150 CVE.-2015-6151 CVE.-2015-6152 CVE.-2015-6153 CVE.-2015-6154 CVE.-2015-6155. CVE.-2015-6156 CVE.-2015-6157 CVE.-2015-6158. CVE.-2015-6159 CVE.-2015-6160 CVE.-2015-6161 CVE.-2015-6162 CVE.-2015-6164
供应商参考
MS15-124
Bugtraq ID:
服务修改:
11/29/2019
用户修改:
编辑:
PCI奢华:
是的
威胁:
Microsoft Internet Explorer是由Microsoft开发的图形Web浏览器,并包含在Microsoft Windows操作系统的一部分中。

此安全更新可解决Internet Explorer中的多个漏洞。如果用户使用Internet Explorer查看特制的网页,则最严重的漏洞可能允许远程执行代码。
更新(8/15/2017):QID已更新,可另外检查MS15-135(对于Windows 10之前的操作系统),并检查“feature_allow_user32_exception_handler_hardening”修复MS15-124中的CVE-2015-6161
QID.检测逻辑:
操作系统:Windows Vista,Windows Server 2008 SP2,Windows 7 SP1,Windows Server 2008 R2 SP1,Windows 8,Windows 8.1,Windows RT,Windows RT 8.1,Windows Server 2012,Windows Server 2012 R2,Windows 10(构建1507和1511) )。
QID.在文件%Windir%\ System32 \ Mshtml.dll的帮助下检查主机是否正在运行Internet Explorer的易受攻击版本
检查以下KBS:
补丁版本为7.0.6002.19537(kB3104002)
补丁版本为7.0.6002.23847(kB3104002)
补丁版本为8.0.6001.19705(KB3104002)
补丁版本为8.0.6001.23765(KB3104002)
补丁版本为8.0.6001.23952(kB3104002)
补丁版本为8.0.7601.19058(kB3104002)
补丁版本为8.0.7601.23262(kB3104002)
补丁版本为9.0.8112.16723(kB3104002)
补丁版本为9.0.8112.20838(kB3104002)
补丁版本为10.0.9200.17566(KB3104002)
补丁版本10.0.9200.21684(kB3104002)
补丁版本为11.0.9600.18125(kB3104002)
补丁版本为11.0.10240.16603(kB3116869)
补丁版本为11.0.10586.20(kB3116900)
Qid另外检查CVE-2015-6161的补丁是否已启用或不通过检查:
1)Windows 10之前的操作系统上的MS15-135:
操作系统:Windows Vista,Windows Server 2008 SP2,Windows 7 SP1,Windows Server 2008 R2 SP1,Windows 8,Windows 8.1,Windows RT,Windows RT 8.1,Windows Server 2012,Windows Server 2012 R2
%windir%\ system32 \ win32k.sys的文件版本
补丁版本为6.0.6002.19535(kB3109094)
补丁版本为6.0.6002.23845(kB3109094)
补丁版本为6.1.7601.19061(kB3109094)
补丁版本为6.1.7601.23265(kB3109094)
补丁版本为6.2.9200.17568(kB3109094)
补丁版本为6.2.9200.21687(kB3109094)
补丁版本为6.3.9600.18123(kB3109094)
2)所有受影响的操作系统都配置了以下注册表项:
a)hkey_local_machine \ software \ microsoft \ Internet Explorer \ Main \ FeatureControl \ featuct_allow_user32_exception_handler_hardening,值1
b)HKEY_LOCAL_MACHINE \软件\ WOW6432NODE \ Microsoft \ Internet Explorer \ main \ fexurecontrol \ feature_allow_user32_exception_handler_hardening,值1(仅64位)
注意:即使在应用于MS15-124的稍后更新时,也会更新QID以检查为CVE-2015-6161启用修复所需的其他步骤。这是因为默认情况下禁用CVE-2015-6161的修复,即使在应用受影响的操作系统上的最新更新后,也需要通过手动启用。
注意(02/26/2018):即使在应用于MS15-124的稍后更新时,也会更新QID以检查CVE-2015-6161的修复所需的其他步骤。这是因为默认情况下禁用CVE-2015-6161的修复,即使在应用受影响的操作系统上的最新更新后,也需要通过手动启用。
影响:
一个远程,未经身份验证的攻击者可以利用这些漏洞来进行跨站点脚本攻击,提升其权限,执行任意代码或导致目标系统上的拒绝服务条件。

解决方案:
建议客户参考Microsoft咨询MS15-124更多细节。

修补:
以下是下载修补程序以修复漏洞的链接:
遵守:
不适用
剥削性:
参考:
CVE.-2015-6152
描述:
Microsoft Internet Explorer 11 - MSHTML!COBOCELELEMENT USIF-AFFUR-AFFURE(MS15-124) - Exploit-DB Ref:38972
关联:
http://www.exploit-db.com/exploits/38972
相关恶意软件:
此漏洞没有恶意软件信息。
结果:
HKLM \ Software \ Microsoft \ Internet Explorer版本= 9.11.9600.19626
HKLM \ Software \ Microsoft \ Internet Explorer版本= 9.11.9600.19626
HKLM \ Software \ Microsoft \ Internet Explorer \ main \ featurecontrol \ featucn_allow_user32_exception_handler_hardening iexplore.exe缺失。
HKLM \ Software \ WOW6432Node \ Microsoft \ Internet Explorer \ main \ featurecontrol \ feature_allow_user32_exception_handler_hardening iexplore.exe缺失。

经过jonny.

发表评论