-
Zoom 客户端爆出安全漏洞,可向攻击者泄露 Windows 登录凭据 | 每日安全资讯
2020-04-02 10:41:24近日,Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。作者/来源:安华金和近日,Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入...近日,Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。
作者/来源:安华金和
近日,Windows 版 Zoom 客户端爆出了容易受到 NUC 路径注入攻击的安全漏洞。作为一款音视频会议应用,Zoom 还允许用户在聊天界面通过发送文本消息来互相交流。然而外媒 Bleeping Computer 指出,攻击者可利用聊天模块的漏洞,窃取点击了相关链接的用户的 Windows 登录凭据。
1 remote-share.png
发送聊天消息时,所有发送的 URL 都将经过转换,以便群内其他成员点击,继而在默认的浏览器中打开网页。
然而安全研究人员 @_g0dmode 发现,Zoom 客户端竟然还将 Windows 网络 UNC 路径,也转换成了聊天消息中可单击的链接。常规 URL 和 NUC 路径都被转换成了聊天消息中的可点击链接。若用户单击 UNC 路径链接,则 Windows 将尝试使用 SMB 文件共享协议连接到远程站点,以打开远程路径中的 cat.jpg 文件。默认情况下,Windows 将发送用户的登录名和 NTLM 密码哈希值,但稍有经验的攻击者均可借助 Hashcat 之类的免费工具来逆向运算。
安全研究人员 Matthew Hickey(@ HackerFantastic)实测发现,其能够在 Zoom 中顺利注入,并且可以借助当前的民用级 GPU 和 CPU 来快速破解。除了窃取 Windows 登录凭据,Hickey 还向 Bleeping Computer 透露,通过点击链接的方式,UNC 注入还适用于启动本地计算机上的程序(比如 CMD 命令提示符)。
庆幸的是,Windows 会在程序被执行前发出是否允许其运行的提示。想要堵上这一漏洞,Zoom 必须阻止 Windows 客户端的 UNC 路径转换功能(屏蔽部分可点击的超链接)。
据悉,Hickey 已经在 Twitter 上向 Zoom 官方发去了有关该安全漏洞的通知,但目前尚不清楚该公司已采取怎样的行动。
来源:cnBeta.COM
更多资讯
万豪披露又一起数据安全事件 520万客户信息泄露
报道称事件发生于今年 1 月中旬,但直到 2 月下旬才被发现。调查发现有两名员工的登陆凭据有关,事件导致 520 万客户信息泄露。在堵上安全漏洞之后,万豪声称入侵者已被禁止访问。
来源:cnBeta.COM
ICANN 批准了 Verisign 的合同 .com 域名将涨价
ICANN 批准了 Verisign 的 .COM 注册协议,允许 .COM 域名未来四年每年涨价 7%。目前 .COM 的批发价为 7.85 美元,从 2021 年起每年涨 7%,到 2024 年批发价将涨到 10.29 美元。
来源:solidot.org
Edge 和 IE 浏览器因疫情调整 TLS 1.0/1.1 禁用时间表
2018 年 10 月,微软宣布尚处于支持状态的 Edge 和 IE 浏览器将于 2020 年上半年开始,默认停止对 TLS 1.0/1.1 网站的支持。不过由于受到新冠病毒疫情的影响,微软宣布对该计划进行调整,并公布了新的时间路线图。
来源:cnBeta.COM
美参议员就新冠病毒网站的数据隐私问题向 Verily 施压
据外媒报道,当地时间周二,一群美国民主党参议员对谷歌母公司 Alphabet 旗下的生命科学部门 Verily 进行了盘问”,内容是关于该公司的新冠筛查网站相关的隐私问题。据悉,该网站于两周前上线,让用户可以通过筛查看看自己是否应该去新冠病病毒检测站检测。
来源:cnBeta.COM
(信息来源于网络,安华金和搜集整理)
-
windows本地凭据备份与还原
2017-11-27 11:45:003、选择“管理windows凭据”; 4、选择“备份凭据”; 5、选择“浏览”,为备份凭据选择路径; 6、选好路径,给备份自定义一个名称,然后选择“保存”; 7、选择“下一步”; 8、根据要求按“CTRL+ALT+...备份:
1、右击开始——控制面板
2、选择“用户账户和家庭安全”;
3、选择“管理windows凭据”;
4、选择“备份凭据”;
5、选择“浏览”,为备份凭据选择路径;
6、选好路径,给备份自定义一个名称,然后选择“保存”;
7、选择“下一步”;
8、根据要求按“CTRL+ALT+DELETE”;
9、输入备份文件的保护密码,然后“下一步”;
10、选择“完成”,备份完成。
还原:
1、在windows凭据管理里面选择“还原凭据”;
2、选择“浏览”;
3、找到备份文件“打开”;
4、选择“下一步”,但一定要细度下面的提示;
5、根据要求按“CTRL+ALT+DELETE”;
6、输入备份时设置的密码,选择“下一步”;
7、选择“完成”,凭据还原完成。
本文转自 as900 51CTO博客,原文链接:http://blog.51cto.com/yupeizhi/1353317,如需转载请自行联系原作者
-
IT安全:浅谈Windows凭据转储攻击
2021-01-29 17:06:40通常情况下,网络攻击者并不需要使用高级手段入侵公司网络就可以在网络中隐藏。...攻击者从服务器窃取用户凭据的几种方式 除了典型的暴力破解攻击、网络钓鱼或肩膀冲浪密码攻击(它涉及从受害者的肩膀上偷看通常情况下,网络攻击者并不需要使用高级手段入侵公司网络就可以在网络中隐藏。例如,他们会通过模仿合法用户的活动来掩饰自己的恶意操作,几乎不留下任何可疑痕迹。
攻击者将恶意行为与日常IT活动相结合,可避免暴露自己的身份,并在较长时间内不被发现。例如,大家通常想到的什么是最快和最常见的访问计算机的方式?很明显答案是登录,但值得注意的是,窃取和使用合法凭证来获取访问权限是攻击者最广泛使用的手段之一。
攻击者从服务器窃取用户凭据的几种方式
除了典型的暴力破解攻击、网络钓鱼或肩膀冲浪密码攻击(它涉及从受害者的肩膀上偷看以获取密码或其他敏感数据)之外,还有其他窃取凭据的方法。例如,攻击者可以从其存储位置窃取或转储凭据。
让我们看一下攻击者使用的几种凭据窃取手段。
LSASS(本地安全机构子系统服务)中的转储凭据:LSASS是Microsoft Windows操作系统中的一个进程,负责在系统上实施安全策略。它验证登录到Windows计算机或服务器的用户,处理密码更改并创建访问令牌。用户登录后,将生成各种凭据并将其存储在内存中的本地安全授权子系统服务LSASS进程中,以便用户不必在每次访问系统资源时重复登录。攻击者按照以下三个简单步骤就可以从内存中转储这些纯文本凭据:
从LSASS进程创建内存转储
通过USB驱动器复制和提取内存转储或将其上传到云盘
使用免费的凭证转储工具(例如Mimikatz)从内存中抓取凭证还有一个legacy protocolWDDigest,用于对Windows中的用户进行身份验证。但是,启用以下注册表项后,LSASS会将登录用户密码的纯文本副本保留在其内存中。
[HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ SecurityProviders \ WDigest must be set to’1’]
攻击者可以通过修改上面的注册表项,以允许在LSASS中存储即用型明文密码。
您可以通过将其运行为受保护的进程来防止对LSASS的此类攻击。
要在保护模式下启用LSASS,需要将注册表项更新为1:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ Lsa \ RunAsPPL
一旦启用保护模式,所有在LSASS上的凭证提取尝试都将失败。
但是,像我们前面提到的,凭据其实还存储在Windows系统的其他不同区域,这意味着攻击者还有其他机会。
转储域缓存凭据
Windows还将用户的登录信息存储在本地,包括域凭据+域授权信息,以便在无法访问身份验证服务时也可以登录到系统,这称为域缓存凭据(DCC- domain cached credentials),MSCACHE或MSCASH哈希。这些哈希存储在Windows注册表中。默认情况下,将存储用户的最后10个密码哈希值。
由于这些哈希值可以从存储在注册表中的特定系统文件和安全文件中被提取,一旦攻击者窃取到这些特殊文件,他们将可以轻而易举地提取到纯文本密码。
Active Directory域数据库
通过窃取NTDS.dit文件(Active Directory的数据库),攻击者可以提取每个用户密码哈希的副本,并可以冒充域中的任何用户。但是由于NTDS.dit文件始终处于被使用状态,因此无法复制或移动它。因此,攻击者可以利用卷影复制服务(VSS-Volume Shadow Copy Service)方法来窃取文件的中存储的明文密码。
从剪贴板中提取密码
假设理想状态下,您已经保护了每台服务器避免凭证转储,攻击者仍可以利用剪贴板中的内容提取密码,因为有些用户很可能会从一个安全位置(如密码库)复制了用户名和密码并粘贴到在他们的登录屏幕上。
记录键盘操作以提取凭证
攻击者通常在策略上将键盘记录程序定位在组策略或注册表的登录脚本中。他们甚至可以创建计划任务来记录按键,以提取用户通过按键输入的信息。除凭据外,此键盘记录程序还可以捕获个人身份信息(PII),例如信用卡信息以及密码、身份证号码等。
与其他攻击方式相比,凭据转储攻击更快,更具破坏性,因为一旦攻击者转储了您域中用户的凭据,它们就可以冒充域中任何用户,甚至您的特权用户去执行一些非法活动。
因此,在所有终端上监视多个位置以检测凭证转储尝试是至关重要的。例如,Windows系统还在路径AppData \ Local \ Google \ Chrome \ User Data \ Default \ Login Data中存储一些常用的浏览器(如Google Chrome)的加密凭据,而攻击者可以使用一些免费的开源工具从该位置提取到一些重要凭据。
您可以通过访问我们的 IT安全攻击介绍页面,观看模拟来了解有关Windows环境下各种凭据转储攻击技术的更多信息。如果您正在寻找可以检测和减轻网络中凭据转储尝试的方案,欢迎了解卓豪的 ManageEngine Log360全方位日志管理解决方案!
-
Windows 10远程凭据保护,帮你实现安全的远程桌面连接
2017-08-15 14:03:00对于大多数系统管理员来说,远程桌面是最常用的 Windows 功能之一。但每次选择「信任远程 PC」时,都需要冒一些远程桌面凭据泄漏的风险...为了消除这一潜在安全威胁,微软在 Windows 10 周年更新和 Windows Server 2...对于大多数系统管理员来说,远程桌面是最常用的 Windows 功能之一。但每次选择「信任远程 PC」时,都需要冒一些远程桌面凭据泄漏的风险,如果你对所连接的远程计算机并不了解,甚至在连接一台已受感染或被动了手脚的远程系统,凭据泄漏风险就更大了。为了消除这一潜在安全威胁,微软在 Windows 10 周年更新和 Windows Server 2016 中引入了远程凭据保护(Remote Credential Guard)功能。「远程凭据保护」可以帮助用户通过远程桌面连接将 Kerberos 请求重定向回请求发起设备来保护您的凭据,同时还为远程桌面会话提供了 SSO(单点登录)支持。如果远程服务器已被恶意攻陷,由于凭据和凭据衍生的验证信息都不会发往目标服务器,也可保证验证凭据不会暴露。
远程凭据保护的常见使用场景如下:
- 由于 Administrator 拥有很高特权,必需受到最大程度的保护。通过使用「远程凭据保护」进行 Remote Desktop 连接,凭据不会通过网络传递到目标设备。
- Helpdesk 团队管理的设备可能已经被感染,「Remote Credential Guard」可以保护 Helpdesk 成员在进行 RDP 连接时不被恶意软件窃取凭据。
下图为 Remote Credential Guard 的工作示意图,可以帮助大家了解其工作原理。
远程凭据保护软、硬件要求
远程桌面客户端和服务器必须满足以下要求才能使用远程凭据保护特性:
- Remote Desktop 服务器和客户端必需是 Active Directory 成员。(服务器和客户端必需加入同一域或加入的域有信任关系)
- 必须使用 Kerberos 身份验证
- 操作系统必需是 Windows 10 version 1607 或 Windows Server 2016
- 必需使用 Windows 10 或 WS 2016 中内置的经典「远程桌面连接」应用,UWP 应用不支持此特性。
启用远程凭据保护功能
Remote Credential Guard 功能默认不启用,我们可以通过更改注册表或配置组策略的方式手动开启。
注册表方法
1.使用 Windows + R 快捷键打开「运行」— 执行 regedit 打开注册表编辑器。
2.导航到如下路径:
- HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Lsa
3.新建一个名为 DisableRestrictedAdmin 的 DWORD (32 位)值,并将其值设置为 0 即可。
如果你想偷懒,也可在「命令提示符」中直接使用如下命令更改注册表:
- reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v DisableRestrictedAdmin /d 0 /t REG_DWORD
组策略方法
如果要在域成员中批量启用,最好的办法就是通过组策略为特定客户端启用「远程凭据保护」支持。
1.使用 Windows + R 快捷键打开「运行」— 执行 gpedit.msc 打开组策略编辑器(域管理员直接使用 GPMC)。
2.导航到如下路径:
计算机配置—管理模板—系统—凭据分配
3.在右侧找到「限制向远程服务器分配凭据」将其启用,再在下拉列表中选择「需要远程 Credential Guard」后点击「确定」
4.更改完成后,等待一些时间即可生效或者执行 gpupdate /force 强制刷新策略。
临时启用远程凭据保护
使用参数为RDP连接启用远程凭据保护
除了通过注册表或组策略直接启用远程凭据保护功能外,还可以通过附加参数临时启用。
- mstsc.exe /remoteGuard
使用远程凭据保护时的注意事项
- 远程凭据保护不包括「设备声明」。 例如,如果您尝试从远程访问文件服务器,并且文件服务器需要设备声明,则访问将被拒绝。
- 远程凭据保护不能用于连接到加入 Azure Active Directory 的设备。
- 远程桌面凭证保护仅适用于 RDP 协议。
- 虽然不会有凭据直接发送到目标设备,但目标设备仍然自己获取 Kerberos 服务的 Ticket。
- 远程桌面网关与远程凭据保护不兼容。
- 无能使用「已保存」或非自身的凭据,必须使用登录到设备的用户凭据。
- 客户端和服务器都必须加入到同一个域或域必须具有信任关系。
- 服务器和客户端必须使用 Kerberos 进行身份验证。
本文作者:佚名来源:51CTO -
Windows安全中心弹窗要求输入凭据(用户名和密码)的解决办法
2020-07-29 10:51:43如果之前没有设过凭据,默认的用户名和密码都是admin,输入即可通过验证。 网络上还提供了另一种解决办法,但是只适用于使用有线网络的用户,无线网络用户无此选项: 禁止Ieee 802.1x 身份验证 如果在属性中没有... -
Windows的Git-Credential-Manager:用于Windows的安全Git凭据存储,支持Visual Studio Team Services,...
2021-02-04 13:28:19GCM Core作为Windows 2.28的Git的可选组件包括在内,它将成为Windows 2.29的Git的默认凭据帮助程序。 也可以从此手动安装GCM Core。 注意:遇到GitHub push / fetch问题? 用于Windows的Git Credential Manager... -
删除windows凭据命令_通过lsass远程提取凭据
2021-01-15 08:38:59在企业渗透测试中,横向移动感染和权限提升是测试攻击...lsass.exe是一个系统重要进程,用于微软Windows系统的安全机制。它用于本地安全和登陆策略。如果结束该进程,会出现不可知的错误。注意:lsass.exe也有可能是... -
Windows Server 2003、 WindowsXP, 中和 Windows 2000 中的缓存凭据安全
2006-09-18 14:06:00参考:Microsoft Knowledge Base: Cached domain logon information -
去掉sql server windows登录_看完这个,你的Windows还安全吗?01-认证过程和凭据
2020-12-03 21:35:08觉得这样就安全就大错特错了,不信是么,一起来看一下Windows认证需要的内容和认证过程。认证过程和凭据 :1.过程:a、本地用户认证在进行本地登录认证时操作系统会使用用户输入的密码作为凭证去与系统中的密码进行... -
Windows 8 引入新版的凭据管理器
2019-08-20 23:33:56Windows 8 引入了账户同步功能,默认情况下系统的设置...使用Windows 8的凭据管理器就可以直白的看到那些安全凭据保存在该电脑当中。 使用快捷键Win+X,在弹出的菜单中选择控制面板,即可看到凭据管理器(如果是按... -
Windows7下添加用户凭据
2010-06-09 09:56:00下面是windows7下添加用户凭据的方法。 1.在”控制面板”->”用户账户和家庭安全”->”凭据管理器” 2.添加windows凭据 3.输入IP地址、用户名和密码. 转载于:... -
Windows 7您的凭据不工作
2016-08-03 20:47:00假设计算机A要远程连接到计算机B 一、参考链接 ... 在计算机B上操作 快捷键 "win(键盘上的计算机标志)+r" 打开 运行 窗口,输入 ...打开 本地组策略编辑器 窗口, 计算机配置—Windows设置—安全设置—本地策略—... -
EV: IE登录安全验证凭据
2013-12-27 10:03:00Keywords: ie,Authentication,登陆,登录,安全验证, 账号, 用户名, 密码, 凭据, Intranet ...如果要使上面的Windows安全验证窗口在每次访问某网站时都出现,除了该网站需要为intranet站点之外,还需要满足... -
在 Windows XP 和 Windows Server 2003 中使用凭据管理
2004-07-14 00:00:00了解如何在 Microsoft Windows XP 和 Windows Server 2003 中使用 DPAPI 函数 CredUIPromptForCredentials 来检索用户凭据,从而以安全且标准的方式获取身份验证信息。点击此处阅读全文 -
使用 Windows Vista 的凭据提供程序创造自定义的登录体验
2014-11-10 16:02:54桌面安全 Dan Griffin 本文讨论: 新的凭据提供程序体系结构 为什么弃用了基于 GINA 的身份验证 多因素 (Multi-factor) 身份验证 开发和调试凭据提供程序 下载... -
windows安全配置
2017-03-20 22:04:00比较重要的 1.... 本地安全策略 安全选项: 交互式登录:不显示最后的用户名 启用 网络访问:不允许SAM帐户和共享的匿名枚举 启用 网络访问: 不允许存储网络身份验证的凭据 启用 网络访问:可匿名访问的... -
凭据安全服务提供商 (CredSSP) Windows XP Service Pack 3 中的说明
2009-04-10 18:11:27[url]http://support.microsoft.com/?scid=kb;zh-cn;951608&x=6&y=10#mtDisclaimer[/url] 转载于:https://blog.51cto.com/jackiechen/148304 -
windows 2008 iis 提示401未授权 由于凭据无效,访问被拒绝
2021-01-09 22:39:382、右键要发布的网站文件夹,选择“安全”——》“编辑”——》“添加”——》“高级”——》“立刻查询”——》选择“IUSR”用户,然后保存; 来试一下哦。 windows 2008 r2 的设定要比以往的版 -
清除Windows访问共享时保存的凭据记录
2018-01-17 12:04:00场景:某些时候我们连接了某台PC或服务器的...此时我们可以通过以下方式更改授权凭据或删除共享授权凭据。 方法一:(适用于大部分用户,有控制面板访问权限) 1,打开【控制面板】,点击【用户帐户】 2,找到【... -
Windows 10 连接到 Windows 7 远程桌面 提示 你的凭据不工作
2016-06-07 14:22:472、“计算机配置”→“Window设置”→“安全设置”→“安全选项”→“网络访问:本地账户的共享和安全模型”→设置为“经典-对本地用户进行身份验证,不改变起本来身份” 改成这个就好用了。 感谢这个网址: ... -
Windows远程连接"之前用于连接到的凭据无法工作 请输入新的凭据"的错误处理
2016-12-04 22:21:18使用win7远程连接另一台Win7机器,在输入用户名密码点击"连接后"报"之前用于连接到的凭据无法工作 请输入新的凭据...打开gpedit.msc,执行以下操作:计算机配置”→“Window设置”→“安全设置”→“本地策略”→“... -
Windows10安全特性概览.pdf
2020-10-26 17:06:14WINDOWS 10 安全特性概览 安全研究部 张云海 密级内部使用 2011 绿盟科技 1 概述 2 Microsoft Passport 3 企业数据保护 4 凭据保护 5 设备保护 6 字体安全 7 缓解措施 8 浏览器 Edge 9 Q&A 概述 Windows 10 是微软下... -
清除Windows访问共享时保存的凭据记录(转发)
2018-01-25 21:20:27又或者电脑给其它用户使用,因一些安全问题需要临时删除访问共享的授权。 此时我们可以通过以下方式更改授权凭据或删除共享授权凭据。 方法一:(适用于大部分用户,有控制面板访问权限) 1,打开【控制面板】,点击... -
windows凭据密码怎么查看_wifi密码查看方法 图文教你怎么查本机wifi密码
2020-12-12 13:47:05方法一:在电脑网络连接中查看密码在电脑网络连接的时候都会设置wifi网络的拨号和密码...在属性窗口中,选择“安全”选项卡,然后把“显示字符”选项前面的勾打上,则此时网络密匙就能完全展示出来。方法二:通过无... -
windows安全机制之登陆
2009-11-26 14:29:00see also:How Interactive Logon Works LSA工作过程概述 1.winlogon从用户处手机登录身份凭据 2.lsass获取这些身份凭据,并在kerberos或者NTLM的帮助下...4.安全性参考监视器(security reference Monitor,SRM)将... -
浅谈Windows10安全体系的新变化
2018-12-03 11:41:20目录Ⅰ Microsoft EdgeⅡ 基于虚拟化的安全 •Credential Guard(凭据保护) •Device Guard(设备保护) •Testing VBSⅢ Windows内置的反恶意程序保护 •Keystroke Interception •Unauthorized Web Camera Acces ... -
远程桌面失败:你的凭据不工作
2019-06-06 15:17:34方法一: 运行Win+R,输入secpol.msc或是gpedit.msc: 然后按照以下操作,将默认设置...组策略-计算机配置-管理模板-windows组件-远程桌面服务-远程桌面会话主机-安全-远程(rdp)连接要求使用指定的安全层,...
-
Unity RUST 逆向安全开发
-
kadai任务列表-源码
-
基于Qt的LibVLC开发教程
-
MySQL 多实例安装 及配置主从复制实验环境
-
SPFD5420A 2.6 inch CMO Application Note 0904 .pdf
-
MySQL 四类管理日志(详解及高阶配置)
-
ELF视频教程
-
Samba 服务配置与管理
-
2021年 系统架构设计师 系列课
-
Android 7.0解决抓取不到https请求的问题
-
java sql 创建触发器_java在sybase上创建特定触发器
-
日K蜡烛图
-
2021-02-28
-
用Go语言来写区块链(一)
-
java spring文件下载_SpringMVC实现文件下载的两种方式及多文件下载
-
华为1+X——网络系统建设与运维(高级)
-
java spring初始化_springmvc初始化数据
-
SPFD5408A_VGL 鎖死解除方法.doc
-
MySQL 管理利器 mysql-utilities
-
BParkingNANO:制定停车NanoAOD的代码-源码