专栏名称: 希潭实验室
ABC_123,2008年入行网络安全,某部委网络安保工作优秀个人,某市局特聘网络安全专家,某高校外聘讲师,希潭实验室创始人。Struts2检测工具及Weblogic T3/IIOP反序列化工具原创作者,擅长红队攻防,代码审计,内网渗透。
今天看啥  ›  专栏  ›  希潭实验室

速报:某EDR产品服务端RCE 0day漏洞临时加固方案

希潭实验室  · 公众号  ·  · 2024-07-21 22:22

文章预览

 Part1 前言  大家好,我是ABC_123 。一年一度的大考即将开始了,坊间确切消息,某EDR的服务端存在RCE的0day漏洞,具体影响版本不详。这里ABC_123给大家提供一个临时的加固方案,有其他修补建议欢迎在文末给我留言。  Part2 研究过程  一般一个单位最快出局的方法就是:外网打一个点或者钓鱼邮件获取权限,内网使用0day/1day干掉集权类系统,然后 下发命令 或 者 直连靶标,随后该单位直接出局。 所以这种0day危害特别大,跟几个朋友讨论了一下,给出的临时加固方案如下:  1    EDR服务端所在机器异构化 。可以装个强杀软或者其它的EDR客户端辅助一下,当然需要提前测好兼容性,防止两个产品打架。  2   EDR服务端设置IP访问白名单 。只允许EDR的Agent的IP进行访问,防止从业务段Web系统的IP直接访问。  3   限制EDR服务端与靶标的文件下发和远控 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览