速报：某EDR产品服务端RCE 0day漏洞临时加固方案

主要观点总结

文章主要围绕某EDR服务端存在的RCE 0day漏洞展开，提供了临时加固方案和研究过程。作者介绍了如何通过外网攻击和内网使用0day/1day漏洞对集权类系统进行攻击，并详细列举了五个针对EDR服务端的加固措施。

关键观点总结

关键观点1: 介绍EDR服务端存在RCE 0day漏洞

文章提到某EDR的服务端存在RCE的0day漏洞，具体影响版本不详，这可能对系统安全构成威胁。

关键观点2: 提供临时加固方案

针对EDR服务端存在的漏洞，作者给出了五个临时加固措施，包括异构化EDR服务端所在机器、设置IP访问白名单、限制文件下发和远控能力、设置监控和限制终端出网等。

关键观点3: 介绍研究过程和攻击方式

文章还介绍了攻击者可能采用的研究过程和攻击方式，包括通过外网攻击获取权限，使用0day/1day漏洞攻击内网集权类系统，以及如何通过下发命令或直连靶标导致单位直接出局。

文章预览

 Part1 前言  大家好，我是ABC_123 。一年一度的大考即将开始了，坊间确切消息，某EDR的服务端存在RCE的0day漏洞，具体影响版本不详。这里ABC_123给大家提供一个临时的加固方案，有其他修补建议欢迎在文末给我留言。  Part2 研究过程  一般一个单位最快出局的方法就是：外网打一个点或者钓鱼邮件获取权限，内网使用0day/1day干掉集权类系统，然后 下发命令 或 者 直连靶标，随后该单位直接出局。 所以这种0day危害特别大，跟几个朋友讨论了一下，给出的临时加固方案如下：  1    EDR服务端所在机器异构化 。可以装个强杀软或者其它的EDR客户端辅助一下，当然需要提前测好兼容性，防止两个产品打架。  2   EDR服务端设置IP访问白名单 。只允许EDR的Agent的IP进行访问，防止从业务段Web系统的IP直接访问。  3   限制EDR服务端与靶标的文件下发和远控 ………………………………