远程代码执行（RCE）漏洞的影响

本文档概述了RCE漏洞可能带来的后果，以及加强安全措施的最佳实践。该零日漏洞于2020年3月6日被报告，并在当天发布了修复程序。 

• 有关识别和缓解该漏洞步骤的更多见解，请阅读我们的 文档 关于RCE漏洞的检测和修复。
• 有关此漏洞常见问题，请访问我们的 常见问题专区.
• 若要了解我们检测和修复RCE漏洞工具的执行方法，请参阅此 文档.
• 知识库文章

漏洞的影响有哪些？ 

本节讨论当机器被发现受损时，漏洞利用可能带来的影响。该利用可能导致机器完全被攻破，并且存在网络横向渗透的高风险。以下是一些案例：  

1. 通过访问SystemCertificates注册表项、cryptography注册表项和CurrentControlSet，部分注册表数据可能已被泄露给其他服务器。
2. 恶意DLL可能已放置在System32文件夹下，篡改部分可执行文件的执行，从而可能导致代码注入。 该恶意软件随后会从感染机器收集数据并传输到其他服务器。
3. 在应用程序的任何执行过程中，可能已创建RemoteThread以注入恶意线程到远程进程中。
4. 疑似使用了cobalt strike负载，这是一个通用攻击载荷，用于建立反向Shell以窃取从服务器上安装的机器的数据，且管理员凭据极有可能被篡改。
5. Internet Explorer和Outlook的Cookie很可能已被访问，且事件日志可能被完全清除。 

加强网络安全的主要建议

本节介绍防止此类利用的最佳实践，需严肃执行。 

1. 仔细检查防火墙日志，排查任何来自未知或异常IP地址的异常入站或出站通信。
2. 监控杀毒软件——检查过去3至5天内软件是否标记了任何文件。
3. 更改用户/系统账户以及从服务器安装的机器访问的任何Web账户的用户名和密码。
4. 若服务器安装的机器属于您的Active Directory，或Endpoint Central服务器已集成AD，请更改Active Directory凭据。
5. 如有网络审计工具，请使用该工具检查恶意软件是否横向移动至其他服务器机器并检测异常。
6. 若受损机器通过SSH密钥连接其他系统，请确保撤销密钥并禁用访问权限。 

联系我们

如有任何进一步问题，请发送邮件至 dc-zeroday@manageengine.com 或使用我们的免费电话 +1-888-720-9500 联系我们。