JDArmy Blog

蓝军推送(第12期)

字数统计: 387阅读时长: 1 min
2022/01/14

bypass edr、CVE-2022-21920、ReverseRDP_RCE

[文章推荐]EDR Parallel-axis through Analysis

文章看点:此文章讲述了一种类似于syscall的新的edr规避方式,整个发现思路是通过windows 10的并行dll加载方式,定位到dll加载之前所保留的未被edr hook的干净的windows api函数,并通过分析函数调用流程,找出具体的函数在内存中的地址,并在后续调用此函数过程中实现bypass EDR。

推送亮点:此文章中讲述了整个bypass edr方法发现的思路,结合windows自身的功能来进行unhook EDR。通过此思路,读者还可以去尝试发现更多其他类似的bypass EDR的方法。并且此方法也是syscall的一个很好的替换品。

原文链接https://www.mdsec.co.uk/2022/01/edr-parallel-asis-through-analysis/

[漏洞播报] CVE-2022-21920 windows Kerberos特权提升漏洞

漏洞概述:1月11日微软的补丁,继NoPac漏洞后的又一域提权漏洞。

推送亮点:域提权漏洞,可以让普通域用户提权到域管用户,目前没有公开漏洞详情,和漏洞利用方式,微软只表示是kerberos的问题。

原文链接https://msrc.microsoft.com/update-guide/vulnerability/CVE-2022-21920

[安全工具] ReverseRDP_RCE

功能描述:RDP客户端漏洞,蜜罐必备!

推送亮点:需要rdp连接者打开文件共享,并点击远程桌面中的文件,就能直接控制连接者的计算机了。

工具链接https://github.com/klinix5/ReverseRDP_RCE

CATALOG
  1. 1. [文章推荐]EDR Parallel-axis through Analysis
  2. 2. [漏洞播报] CVE-2022-21920 windows Kerberos特权提升漏洞
  3. 3. [安全工具] ReverseRDP_RCE