bypass edr、CVE-2022-21920、ReverseRDP_RCE
[文章推荐]EDR Parallel-axis through Analysis
文章看点:此文章讲述了一种类似于syscall的新的edr规避方式,整个发现思路是通过windows 10的并行dll加载方式,定位到dll加载之前所保留的未被edr hook的干净的windows api函数,并通过分析函数调用流程,找出具体的函数在内存中的地址,并在后续调用此函数过程中实现bypass EDR。
推送亮点:此文章中讲述了整个bypass edr方法发现的思路,结合windows自身的功能来进行unhook EDR。通过此思路,读者还可以去尝试发现更多其他类似的bypass EDR的方法。并且此方法也是syscall的一个很好的替换品。
原文链接:https://www.mdsec.co.uk/2022/01/edr-parallel-asis-through-analysis/
[漏洞播报] CVE-2022-21920 windows Kerberos特权提升漏洞
漏洞概述:1月11日微软的补丁,继NoPac漏洞后的又一域提权漏洞。
推送亮点:域提权漏洞,可以让普通域用户提权到域管用户,目前没有公开漏洞详情,和漏洞利用方式,微软只表示是kerberos的问题。
原文链接:https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21920
[安全工具] ReverseRDP_RCE
功能描述:RDP客户端漏洞,蜜罐必备!
推送亮点:需要rdp连接者打开文件共享,并点击远程桌面中的文件,就能直接控制连接者的计算机了。