我的一台服务器已发现两个紧急(严重性为5)漏洞。 Qualys扫描报告的确提供了许多有关这些漏洞的详细信息,例如解决方案,补丁,链接等。

应用补丁

不幸的是,即使我已经下载了正确的补丁程序并应用于该服务器。它仍在显示这些漏洞。

您可以在帖子末尾找到有关它们的详细信息。

关键是,您还需要执行其他额外步骤来补救这两个漏洞。

Microsoft组策略远程执行代码漏洞(MS15-011)修复

对于 基于KB的Microsoft组策略远程执行代码漏洞(MS15-011) MS15-011:组策略中的漏洞可能允许远程执行代码:2015年2月10日,微软  建议将所有NETLOGON和SYSVOL共享都配置为要求相互身份验证和完整性,以帮助保护组策略免受欺骗和篡改攻击的攻击,这些攻击可用于实现远程代码执行。

强化的UNC路径

值名称
\\ * \ NETLOGON RequireMutualAuthentication = 1,RequireIntegrity = 1
\\ * \ SYSVOL RequireMutualAuthentication = 1,RequireIntegrity = 1

Microsoft组策略远程执行代码漏洞(MS15-011)修复

由于Qualys结果明确显示缺少一些注册表项,因此最简单的方法是在应用补丁后手动添加此注册表项。 

HKLM \ SOFTWARE \ Microsoft \ Internet 资源管理器\ Main \ FeatureControl \ FEATURE_ALLOW_USER32_EXCEPTION_HANDLER_HARDENING iexplore.exe丢失。

在对系统进行了两次手动附加更改之后,扫描结果在严重性5发现时显示为干净。

附录

 5
Microsoft组策略远程执行代码漏洞(MS15-011)
 

QID:
91017
类别:
视窗
CVE ID:
CVE-2015-0008
供应商参考
MS15-011
Bugtraq ID:
72477
服务已修改:
2020年2月5日
用户修改:
编辑:
没有
PCI Vuln:
威胁:
该安全更新通过改善在组策略接受配置数据之前,域配置的系统如何连接到域控制器来解决该漏洞。

对于Windows Server 2003,Windows Vista,Windows Server 2008,Windows 7,Windows Server 2008 R2,Windows 8,Windows Server 2012,Windows RT,Windows 8.1,Windows Server 2012 R2和Windows的所有受支持版本,此安全更新的等级为``严重''。 RT 8.1
注意:Windows 2003没有发布更新。此漏洞要求用户将计算机连接到不受信任的网络,例如咖啡店中的Wi-Fi热点。因此,连接到不受信任网络的工作站受此漏洞的威胁最大。
QID检测逻辑(已认证):
操作系统:Windows Vista,Windows Server 2008,Windows Server 2008 R2,Windows 7,Windows 8,Windows RT,Windows RT 8.1,Windows Server 2012
此QID检查%windir%\ system32 \ gpsvc.dll的文件版本
检查以下KB:
修补程序版本6.0.6002.19279(KB3000483)
修补程序版本6.0.6002.23588(KB3000483)
6.1.7601.18711的修补程序版本(KB3000483)
6.1.7601.22917的修补程序版本(KB3000483)
6.2.9200.17225的修补程序版本(KB3000483)
6.2.9200.21339的修补程序版本(KB3000483)
6.3.9600.17630的修补程序版本(KB3000483)
此外,注册表项– HKLM \ SOFTWARE \ Microsoft \ 视窗 \ CurrentVersion \ Group Policy \ History –检查系统是否连接到域。如果是,则检查KB3000483中提到的“最低推荐设置”:-
1.注册表项– HKLM \ SOFTWARE \ Policies \ Microsoft \ 视窗 \ 网络Provider \ HardenedPaths的值为“ Netlogon”包含数据– RequireMutualAuthentication = 1,RequireIntegrity = 1
2.注册表项– HKLM \ SOFTWARE \ Policies \ Microsoft \ 视窗 \ 网络Provider \ HardenedPaths的值为“ Sysvol”包含数据– RequireMutualAuthentication = 1,RequireIntegrity = 1
  值 Name    值
  \\ * \ NETLOGON   RequireMutualAuthentication = 1,RequireIntegrity = 1
  \\ * \ SYSVOL   RequireMutualAuthentication = 1,RequireIntegrity = 1
影响:
如果攻击者诱使使用域配置系统的用户连接到攻击者控制的网络,则该漏洞可能允许远程执行代码。

解:
参考 MS15-011获取更多补丁信息。

在某些环境中,要完全保护其免受漏洞攻击,除了部署此安全更新之外,还需要系统管理员进行其他配置。请参阅Microsoft知识库文章 KB3000483 以获得更多信息。
补丁:
以下是用于下载修补程序以修复漏洞的链接:
合规性:
不适用
可使用性:
参考:
CVE-2015-0008
描述:
Microsoft 视窗组策略远程执行代码漏洞(MS15-011)–核心安全类别:漏洞/远程
参考:
CVE-2015-0008
描述:
Microsoft 视窗 Server 2012 –“组策略”远程执行代码– Exploit-DB参考:47558
链接:
http://www.exploit-db.com/exploits/47558
参考:
CVE-2015-0008
描述:
Microsoft 视窗组策略远程执行代码漏洞(MS15-011)– MWR InfoSecurity
链接:
//labs.mwrinfosecurity.com/blog/practically-exploiting-ms15-014-and-ms15-011/
相关恶意软件:
没有此漏洞的恶意软件信息。
结果:
HKLM \ SOFTWARE \ Microsoft \ 视窗 \ CurrentVersion \ Group Policy \ History DCName存在。
KB3000483中提到的MS15-011的最低建议设置未应用于目标。
 5
Microsoft IE浏览器累积安全更新(MS15-124)
 

QID:
100269
类别:
IE浏览器
CVE ID:
CVE-2015-6083 CVE-2015-6134 CVE-2015-6135 CVE-2015-6136 CVE-2015-6138 CVE-2015-6139 CVE-2015-6140 CVE-2015-6141 CVE-2015-6142 CVE-2015-6143 CVE-2015-6144 CVE-2015-6145 CVE-2015-6146 CVE-2015-6147 CVE-2015-6148 CVE-2015-6149 CVE-2015-6150 CVE-2015-6151 CVE-2015-6152 CVE-2015-6153 CVE-2015-6154 CVE-2015-6155 CVE-2015-6156 CVE-2015-6157 CVE-2015-6158 CVE-2015-6159 CVE-2015-6160 CVE-2015-6161 CVE-2015-6162 CVE-2015-6164
供应商参考
MS15-124
Bugtraq ID:
服务已修改:
2019年11月29日
用户修改:
编辑:
没有
PCI Vuln:
威胁:
Microsoft IE浏览器是由Microsoft开发的图形Web浏览器,并包含在Microsoft 视窗操作系统中。

此安全更新解决了Internet Explorer中的多个漏洞。如果用户使用Internet Explorer查看特制网页,则最严重的漏洞可能允许远程执行代码。
更新(2017年8月15日):已更新QID,以额外检查MS15-135(对于Windows 10之前的操作系统)并检查“ FEATURE_ALLOW_USER32_EXCEPTION_HANDLER_HARDENING”,如 MS15-124中的CVE-2015-6161修复
QID检测逻辑:
操作系统:Windows Vista,Windows Server 2008 SP2,Windows 7 SP1,Windows Server 2008 R2 SP1,Windows 8,Windows 8.1,Windows RT,Windows RT 8.1,Windows Server 2012,Windows Server 2012 R2,Windows 10(内部版本1507和1511) )。
QID在文件%windir%\ System32 \ mshtml.dll的帮助下,检查主机是否正在运行Internet Explorer的漏洞版本。
检查以下KB:
修补程序版本7.0.6002.19537(KB3104002)
修补程序版本7.0.6002.23847(KB3104002)
8.0.6001.19705(KB3104002)的修补程序版本
8.0.6001.23765(KB3104002)的修补程序版本
8.0.6001.23952(KB3104002)的修补程序版本
8.0.7601.19058(KB3104002)的修补程序版本
8.0.7601.23262(KB3104002)的修补程序版本
9.0.8112.16723(KB3104002)的修补程序版本
9.0.8112.20838(KB3104002)的修补程序版本
10.0.9200.17566(KB3104002)的修补程序版本
10.0.9200.21684(KB3104002)的修补程序版本
11.0.9600.18125(KB3104002)的修补程序版本
11.0.10240.16603(KB3116869)的修补程序版本
11.0.10586.20的修补程序版本(KB3116900)
QID还通过检查以下内容来检查是否启用了CVE-2015-6161补丁:
1)Windows 10之前的操作系统上的MS15-135:
操作系统:Windows Vista,Windows Server 2008 SP2,Windows 7 SP1,Windows Server 2008 R2 SP1,Windows 8,Windows 8.1,Windows RT,Windows RT 8.1,Windows Server 2012,Windows Server 2012 R2
%windir%\ System32 \ win32k.sys的文件版本
修补程序版本6.0.6002.19535(KB3109094)
修补程序版本6.0.6002.23845(KB3109094)
6.1.7601.19061(KB3109094)的修补程序版本
6.1.7601.23265(KB3109094)的修补程序版本
6.2.9200.17568(KB3109094)的修补程序版本
6.2.9200.21687(KB3109094)的修补程序版本
修补程序版本6.3.9600.18123(KB3109094)
2)在所有受影响的操作系统上配置以下注册表项:
a)HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ IE浏览器 \ Main \ FeatureControl \ FEATURE_ALLOW_USER32_EXCEPTION_HANDLER_HARDENING的值为1
b)HKEY_LOCAL_MACHINE \ SOFTWARE \ Wow6432Node \ Microsoft \ IE浏览器 \ Main \ FeatureControl \ FEATURE_ALLOW_USER32_EXCEPTION_HANDLER_HARDENING的值为1(仅64位)
注意:已更新QID,以检查启用CVE-2015-6161的修复程序所需的其他步骤,即使应用了比MS15-124更新的更新。这是因为CVE-2015-6161的修复程序默认情况下是禁用的,即使在受影响的操作系统上应用了最新更新之后,也需要手动启用它。
注意(02/26/2018):QID已更新,即使应用了MS15-124之后的更新,也已检查启用CVE-2015-6161修复程序所需的其他步骤。这是因为CVE-2015-6161的修复程序默认情况下是禁用的,即使在受影响的操作系统上应用了最新更新之后,也需要手动启用它。
影响:
远程未经身份验证的攻击者可能利用这些漏洞进行跨站点脚本攻击,提升其特权,执行任意代码或导致目标系统上的服务条件被拒绝。

解:
建议客户参考Microsoft咨询 MS15-124 for more details.

补丁:
以下是用于下载修补程序以修复漏洞的链接:
合规性:
不适用
可使用性:
参考:
CVE-2015-6152
描述:
Microsoft IE浏览器 11 – MSHTML!CObjectElement免费使用(MS15-124)– Exploit-DB参考:38972
链接:
http://www.exploit-db.com/exploits/38972
相关恶意软件:
没有此漏洞的恶意软件信息。
结果:
HKLM \软件\ Microsoft \ IE浏览器版本= 9.11.9600.19626
HKLM \ SOFTWARE \ Microsoft \ IE浏览器版本= 9.11.9600.19626
HKLM \ SOFTWARE \ Microsoft \ IE浏览器 \ Main \ FeatureControl \ FEATURE_ALLOW_USER32_EXCEPTION_HANDLER_HARDENING iexplore.exe丢失。
HKLM \ SOFTWARE \ WOW6432Node \ Microsoft \ IE浏览器 \ Main \ FeatureControl \ FEATURE_ALLOW_USER32_EXCEPTION_HANDLER_HARDENING iexplore.exe丢失了。

通过 约翰扬

发表评论