近日，Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。
作者/来源：安华金和
近日，Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。作为一款音视频会议应用，Zoom 还允许用户在聊天界面通过发送文本消息来互相交流。然而外媒 Bleeping Computer 指出，攻击者可利用聊天模块的漏洞，窃取点击了相关链接的用户的 Windows 登录凭据。
1 remote-share.png
发送聊天消息时，所有发送的 URL 都将经过转换，以便群内其他成员点击，继而在默认的浏览器中打开网页。
然而安全研究人员 @_g0dmode 发现，Zoom 客户端竟然还将 Windows 网络 UNC 路径，也转换成了聊天消息中可单击的链接。常规 URL 和 NUC 路径都被转换成了聊天消息中的可点击链接。若用户单击 UNC 路径链接，则 Windows 将尝试使用 SMB 文件共享协议连接到远程站点，以打开远程路径中的 cat.jpg 文件。默认情况下，Windows 将发送用户的登录名和 NTLM 密码哈希值，但稍有经验的攻击者均可借助 Hashcat 之类的免费工具来逆向运算。
安全研究人员 Matthew Hickey（@ HackerFantastic）实测发现，其能够在 Zoom 中顺利注入，并且可以借助当前的民用级 GPU 和 CPU 来快速破解。除了窃取 Windows 登录凭据，Hickey 还向 Bleeping Computer 透露，通过点击链接的方式，UNC 注入还适用于启动本地计算机上的程序（比如 CMD 命令提示符）。 
庆幸的是，Windows 会在程序被执行前发出是否允许其运行的提示。想要堵上这一漏洞，Zoom 必须阻止 Windows 客户端的 UNC 路径转换功能（屏蔽部分可点击的超链接）。
据悉，Hickey 已经在 Twitter 上向 Zoom 官方发去了有关该安全漏洞的通知，但目前尚不清楚该公司已采取怎样的行动。
来源：cnBeta.COM
更多资讯
万豪披露又一起数据安全事件 520万客户信息泄露
报道称事件发生于今年 1 月中旬，但直到 2 月下旬才被发现。调查发现有两名员工的登陆凭据有关，事件导致 520 万客户信息泄露。在堵上安全漏洞之后，万豪声称入侵者已被禁止访问。
来源：cnBeta.COM
ICANN 批准了 Verisign 的合同 .com 域名将涨价
ICANN 批准了 Verisign 的 .COM 注册协议，允许  .COM 域名未来四年每年涨价 7%。目前 .COM 的批发价为 7.85 美元，从 2021 年起每年涨 7%，到 2024 年批发价将涨到 10.29 美元。
来源：solidot.org
Edge 和 IE 浏览器因疫情调整 TLS 1.0/1.1 禁用时间表
2018 年 10 月，微软宣布尚处于支持状态的 Edge 和 IE 浏览器将于 2020 年上半年开始，默认停止对 TLS 1.0/1.1 网站的支持。不过由于受到新冠病毒疫情的影响，微软宣布对该计划进行调整，并公布了新的时间路线图。
来源：cnBeta.COM
美参议员就新冠病毒网站的数据隐私问题向 Verily 施压
据外媒报道，当地时间周二，一群美国民主党参议员对谷歌母公司 Alphabet 旗下的生命科学部门 Verily 进行了盘问”，内容是关于该公司的新冠筛查网站相关的隐私问题。据悉，该网站于两周前上线，让用户可以通过筛查看看自己是否应该去新冠病病毒检测站检测。
来源：cnBeta.COM
（信息来源于网络，安华金和搜集整理） 

				

                    
备份：
1、右击开始——控制面板



2、选择“用户账户和家庭安全”；




3、选择“管理windows凭据”；



4、选择“备份凭据”；



5、选择“浏览”，为备份凭据选择路径；



6、选好路径，给备份自定义一个名称，然后选择“保存”；



7、选择“下一步”；



8、根据要求按“CTRL+ALT+DELETE”；



9、输入备份文件的保护密码，然后“下一步”；



10、选择“完成”，备份完成。



还原：
1、在windows凭据管理里面选择“还原凭据”；



2、选择“浏览”；



3、找到备份文件“打开”；



4、选择“下一步”，但一定要细度下面的提示；



5、根据要求按“CTRL+ALT+DELETE”；



6、输入备份时设置的密码，选择“下一步”；



7、选择“完成”，凭据还原完成。





本文转自 as900 51CTO博客，原文链接：http://blog.51cto.com/yupeizhi/1353317，如需转载请自行联系原作者	


        
        
                
    

通常情况下，网络攻击者并不需要使用高级手段入侵公司网络就可以在网络中隐藏。例如，他们会通过模仿合法用户的活动来掩饰自己的恶意操作，几乎不留下任何可疑痕迹。
攻击者将恶意行为与日常IT活动相结合，可避免暴露自己的身份，并在较长时间内不被发现。例如，大家通常想到的什么是最快和最常见的访问计算机的方式？很明显答案是登录，但值得注意的是，窃取和使用合法凭证来获取访问权限是攻击者最广泛使用的手段之一。
攻击者从服务器窃取用户凭据的几种方式
除了典型的暴力破解攻击、网络钓鱼或肩膀冲浪密码攻击（它涉及从受害者的肩膀上偷看以获取密码或其他敏感数据）之外，还有其他窃取凭据的方法。例如，攻击者可以从其存储位置窃取或转储凭据。
让我们看一下攻击者使用的几种凭据窃取手段。
LSASS（本地安全机构子系统服务）中的转储凭据：LSASS是Microsoft Windows操作系统中的一个进程，负责在系统上实施安全策略。它验证登录到Windows计算机或服务器的用户，处理密码更改并创建访问令牌。用户登录后，将生成各种凭据并将其存储在内存中的本地安全授权子系统服务LSASS进程中，以便用户不必在每次访问系统资源时重复登录。攻击者按照以下三个简单步骤就可以从内存中转储这些纯文本凭据：
从LSASS进程创建内存转储

通过USB驱动器复制和提取内存转储或将其上传到云盘

使用免费的凭证转储工具（例如Mimikatz）从内存中抓取凭证

还有一个legacy protocolWDDigest，用于对Windows中的用户进行身份验证。但是，启用以下注册表项后，LSASS会将登录用户密码的纯文本副本保留在其内存中。
[HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ WDigest must be set to’1’]
攻击者可以通过修改上面的注册表项，以允许在LSASS中存储即用型明文密码。
您可以通过将其运行为受保护的进程来防止对LSASS的此类攻击。
要在保护模式下启用LSASS，需要将注册表项更新为1：
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPL
一旦启用保护模式，所有在LSASS上的凭证提取尝试都将失败。

但是，像我们前面提到的，凭据其实还存储在Windows系统的其他不同区域，这意味着攻击者还有其他机会。
转储域缓存凭据
Windows还将用户的登录信息存储在本地，包括域凭据+域授权信息，以便在无法访问身份验证服务时也可以登录到系统，这称为域缓存凭据（DCC- domain cached credentials），MSCACHE或MSCASH哈希。这些哈希存储在Windows注册表中。默认情况下，将存储用户的最后10个密码哈希值。
由于这些哈希值可以从存储在注册表中的特定系统文件和安全文件中被提取，一旦攻击者窃取到这些特殊文件，他们将可以轻而易举地提取到纯文本密码。


Active Directory域数据库
通过窃取NTDS.dit文件（Active Directory的数据库），攻击者可以提取每个用户密码哈希的副本，并可以冒充域中的任何用户。但是由于NTDS.dit文件始终处于被使用状态，因此无法复制或移动它。因此，攻击者可以利用卷影复制服务（VSS-Volume Shadow Copy Service）方法来窃取文件的中存储的明文密码。
从剪贴板中提取密码
假设理想状态下，您已经保护了每台服务器避免凭证转储，攻击者仍可以利用剪贴板中的内容提取密码，因为有些用户很可能会从一个安全位置（如密码库）复制了用户名和密码并粘贴到在他们的登录屏幕上。
记录键盘操作以提取凭证
攻击者通常在策略上将键盘记录程序定位在组策略或注册表的登录脚本中。他们甚至可以创建计划任务来记录按键，以提取用户通过按键输入的信息。除凭据外，此键盘记录程序还可以捕获个人身份信息（PII），例如信用卡信息以及密码、身份证号码等。


与其他攻击方式相比，凭据转储攻击更快，更具破坏性，因为一旦攻击者转储了您域中用户的凭据，它们就可以冒充域中任何用户，甚至您的特权用户去执行一些非法活动。
因此，在所有终端上监视多个位置以检测凭证转储尝试是至关重要的。例如，Windows系统还在路径AppData \ Local \ Google \ Chrome \ User Data \ Default \ Login Data中存储一些常用的浏览器（如Google Chrome）的加密凭据，而攻击者可以使用一些免费的开源工具从该位置提取到一些重要凭据。
您可以通过访问我们的 IT安全攻击介绍页面，观看模拟来了解有关Windows环境下各种凭据转储攻击技术的更多信息。如果您正在寻找可以检测和减轻网络中凭据转储尝试的方案，欢迎了解卓豪的 ManageEngine Log360全方位日志管理解决方案！

                    



对于大多数系统管理员来说，远程桌面是最常用的 Windows 功能之一。但每次选择「信任远程 PC」时，都需要冒一些远程桌面凭据泄漏的风险，如果你对所连接的远程计算机并不了解，甚至在连接一台已受感染或被动了手脚的远程系统，凭据泄漏风险就更大了。




为了消除这一潜在安全威胁，微软在 Windows 10 周年更新和 Windows Server 2016 中引入了远程凭据保护(Remote Credential Guard)功能。「远程凭据保护」可以帮助用户通过远程桌面连接将 Kerberos 请求重定向回请求发起设备来保护您的凭据，同时还为远程桌面会话提供了 SSO(单点登录)支持。如果远程服务器已被恶意攻陷，由于凭据和凭据衍生的验证信息都不会发往目标服务器，也可保证验证凭据不会暴露。
远程凭据保护的常见使用场景如下：
由于 Administrator 拥有很高特权，必需受到最大程度的保护。通过使用「远程凭据保护」进行 Remote Desktop 连接，凭据不会通过网络传递到目标设备。
Helpdesk 团队管理的设备可能已经被感染，「Remote Credential Guard」可以保护 Helpdesk 成员在进行 RDP 连接时不被恶意软件窃取凭据。
下图为 Remote Credential Guard 的工作示意图，可以帮助大家了解其工作原理。

远程凭据保护软、硬件要求
远程桌面客户端和服务器必须满足以下要求才能使用远程凭据保护特性：
Remote Desktop 服务器和客户端必需是 Active Directory 成员。(服务器和客户端必需加入同一域或加入的域有信任关系)
必须使用 Kerberos 身份验证
操作系统必需是 Windows 10 version 1607 或 Windows Server 2016
必需使用 Windows 10 或 WS 2016 中内置的经典「远程桌面连接」应用，UWP 应用不支持此特性。
启用远程凭据保护功能
Remote Credential Guard 功能默认不启用，我们可以通过更改注册表或配置组策略的方式手动开启。
注册表方法
1.使用 Windows + R 快捷键打开「运行」— 执行 regedit 打开注册表编辑器。
2.导航到如下路径：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa 
3.新建一个名为 DisableRestrictedAdmin 的 DWORD (32 位)值，并将其值设置为 0 即可。
如果你想偷懒，也可在「命令提示符」中直接使用如下命令更改注册表：

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD 
组策略方法
如果要在域成员中批量启用，最好的办法就是通过组策略为特定客户端启用「远程凭据保护」支持。
1.使用 Windows + R 快捷键打开「运行」— 执行 gpedit.msc 打开组策略编辑器(域管理员直接使用 GPMC)。
2.导航到如下路径：
计算机配置—管理模板—系统—凭据分配
3.在右侧找到「限制向远程服务器分配凭据」将其启用，再在下拉列表中选择「需要远程 Credential Guard」后点击「确定」

4.更改完成后，等待一些时间即可生效或者执行 gpupdate /force 强制刷新策略。
临时启用远程凭据保护
使用参数为RDP连接启用远程凭据保护
除了通过注册表或组策略直接启用远程凭据保护功能外，还可以通过附加参数临时启用。

mstsc.exe /remoteGuard 

使用远程凭据保护时的注意事项
远程凭据保护不包括「设备声明」。 例如，如果您尝试从远程访问文件服务器，并且文件服务器需要设备声明，则访问将被拒绝。
远程凭据保护不能用于连接到加入 Azure Active Directory 的设备。
远程桌面凭证保护仅适用于 RDP 协议。
虽然不会有凭据直接发送到目标设备，但目标设备仍然自己获取 Kerberos 服务的 Ticket。
远程桌面网关与远程凭据保护不兼容。
无能使用「已保存」或非自身的凭据，必须使用登录到设备的用户凭据。
客户端和服务器都必须加入到同一个域或域必须具有信任关系。
服务器和客户端必须使用 Kerberos 进行身份验证。









本文作者：佚名
来源：51CTO