首页 > 业界 > 关键词 > 深信服最新资讯 > 正文

深信服出席第九届XDef 分享关于Microsoft SharePoint的最新安全研究成果

2021-04-19 09:58 · 稿源:站长之家用户

4月16-17日,主题为“挑战与变革”的第九届全国网络与信息安全防护峰会(XDef)在湖北武汉隆重举行,深信服蓝军首席架构师彭峙酿出席峰会并发表了主题为《针对Microsoft SharePoint的安全研究》的演讲。

图片:第九届全国网络与信息安全防护峰会现场

全国网络与信息安全防护峰会以“对话、交流、合作”为宗旨,以“前沿、实用、人才”为特色,旨在汇聚政、产、学、研、用等各方专家,充分利用参会嘉宾所处行业合作需求的多元化特点,来促进多方安全力量的有效对话与深入交流,以实质性推动合作。本届峰会由国家计算机网络应急技术处理协调中心(CNCNERT/CC)、教育部高等学校网络空间安全专业教学指导委员会指导,空天信息安全与可信计算教育部重点实验室(武汉大学)主办。

新冠疫情席卷全球,许多政企和组织被迫改变其业务模式的运作方式,开始进行远程办公,他们迫切需要一个管理系统来管理和共享工作内容。Microsoft SharePoint是目前被广泛使用的内容管理系统(CMS)之一,由于其承载了大量企业内部信息,也易于成为恶意黑客的攻击对象。迄今,深信服通过安全研究,已协助微软修复了数十个SharePoint中存在的安全漏洞,其中包含多个可以直接接管SharePoint服务器权限的高危安全漏洞。在本次峰会中,彭峙酿从Microsoft SharePoint体系结构、攻击面和缓解措施,以及缓解措施的绕过等层面,介绍了深信服对Microsoft SharePoint多个最新高危RCE漏洞的研究成果(微软已修复)。

图片:深信服蓝军首席架构师彭峙酿

彭峙酿谈到,不安全的控件问题、服务端请求伪造(SSRF)、不安全的反序列化、XML解析漏洞、服务端文件包含(SSI)、账户接管等,均是Microsoft SharePoint中可能会被恶意黑客利用的攻击面,一旦这些漏洞被恶意黑客利用,政企和组织将面临巨大的损失。比如,攻击者可以借助SPSqlDataSource 任意文件读漏洞(CVE-2020-17120)或CSOM GetPlugin XXE 漏洞 (CVE-2021-24072),泄露Microsoft SharePoint服务器任意文件内容,并进一步实现服务器远程代码执行,接管Microsoft SharePoint服务器。再如Microsoft SharePoint中存在的服务端文件包含漏洞(CVE-2020-16952),攻击者利用该漏洞也可以完全接管Microsoft SharePoint服务器。当服务器被攻击者接管,其上存储的所有敏感信息和文件都会暴露在攻击者面前,甚至可能成为攻击者接管整个内网的关键一环。

网络安全的本质在于持续的攻防对抗与博弈,要了解对手的能力、特点和动机,还要像对手那样思考,才能抢先一步。深信服也将持续深耕攻防领域的技术研究,助力网络强国建设,坚决捍卫网络安全防线。

这篇文章对你有价值吗?

  • 相关推荐
  • 大家在看
  • 国内首家!深信服 EDR 在AV-TEST测评中获全部满分

    检测能力6 分!性能消耗 6 分!可用性 6 分!前不久,国际权威测评机构 AV-TEST 发布了最新的企业安全产品测评结果,在测评的19 个企业级终端安全产品中,深信服 EDR 在检测能力、性能消耗以及可用性三个评估维度拿到了全部满分( 6 分为满分)的好成绩,也是国内首个全部满分的终端安全产品,意味着深信服 EDR在终端安全防护能力上获得了的专业肯定与认可。数据来源于AV-Test测评机构AV-Test是世界权威的第三方测试机构之一,素以海量?

  • 3.25 亿!深信服终端安全提醒:REvil 勒索团伙又出动了

    这恐怕是史上最高的黑客赎金记录。索要历史最高记录赎金近日,REvil(又名Sodinokibi)勒索病毒团伙在其网站上公布,他们已经成功入侵了某计算机巨头企业的内部系统,对其重要数据进行了窃取和加密,并公开了部分数据截图以证明真实性:图片来源于海外媒体从Tor付款站点上显示,得知该团伙共向该企业勒索 5000 万美金的赎金,折合人民币约3.25 亿元,是勒索病毒历史上索要赎金的最高记录。图片来源于海外媒体当然,黑客还是有条件?

  • Web绕过防不胜防?深信服下一代防火墙为您支招

    Web业务边界被绕过事件屡见不鲜,原因是什么? 根据 Neustar 国际安全委员会2020年的调查,49% 的安全专业人员表示,在过去 12 个月中,超过四分之一的 Web 应用攻击都是采用绕过手段并且入侵成功。其根源在于利用HTTP协议复杂性成功绕过边界防御,具体如下: 1、多种攻击入口:HTTP协议请求结构复杂,对攻击者来说意味着存在多个攻击入口。 HTTP协议请求结构 2、多种编码方式:由于业务不可预测的变化性、大量的Web框架和Web服务

  • 深信服SRC发布全新奖励机制,单个漏洞最高奖金税后达50万

    近日,深信服正式发布全新的《深信服安全应急响应中心漏洞审核标准和奖金奖励机制》,从单个漏洞基础奖励升级、荣誉贡献榜激励升级、开放交流和增设额外激励等三个层面对安全投入进行加码,值得一提的是,升级版本单个漏洞奖金税后最高达 50 万。单个漏洞基础奖励升级。深信服SRC全新奖励机制将资产等级划分更细化、更合理,同时奖金也大幅增加。升级前,单个常规严重漏洞最高奖励为 1 万元,升级后单个常规严重漏洞奖励高达 10 万

  • 连续12年IDC安全内容管理市场占有率第一 深信服AC全面拥抱SASE

    前不久,在IDC 发布的《 2020 年第四季度中国IT安全硬件市场跟踪报告》中, 2020 年深信服凭借全网行为管理产品以21.3% 的市场占有率在安全内容管理分类下再次拔得头筹,远超其他厂商。并且,这也是深信服连续12 年获此殊荣了。2020 年,为了不断满足用户的需求,深信服全网行为管理 AC 秉持着持续创新的态度,基于多年的技术积累全新升级。除了功能升级外,深信服推出基于SASE概念的云服务模式的云安全访问服务Sangfor Access,实

  • 中兴通讯首批通过信通院“数字化可信服务评估”

    3 月 31 日,由中国信息通信研究院与中国通信标准化协会主办,以“数字赋能 共建共享”为主题的 2021 数字化转型发展高峰论坛在京举行,论坛上正式发布数字化可信服务评估结果。中兴通讯首批通过信通院“数字化可信服务评估”,是具备“数字基础设施一体化云平台服务能力”的五家企业之一,并在信通院的引领下,携手业界数字化领先企业,共同成立了旨在推动各行业数字化发展和应用落地的“企业数字化发展共建共享平台”。近年来,?

  • 美国三大运营商决定放弃跨网RCS融合通信服务CCMI

    援引电信行业新闻网站 Light Reading 报道,美国三大运营商决定退出入跨运营商通讯计划(Cross-Carrier Messaging Initiative,CCMI)。CCMI 的初衷是联合推广 RCS,皆在取代 SMS 成为下一代消息标准。RCS 融合通信是新式 GSM 标准,旨在取代之前的短信(SMS)或彩信(MMS)服务,能大幅提升企业向客户发送的营销资讯,包括图片、视频、网址,甚至可执行视频通讯、群聊、互动、购买等功能,而完全不用离开短信界面。由于它是由运营

  • 深信服圆满完成2021全国两会网络安全保障工作

    3 月 11 日,十三届全国人大四次会议落下帷幕,预示着今年全国两会的胜利召开。此次全国两会作为我国新发展阶段的首届全国两会,重要程度毋庸置疑,引起了全国各行各业乃至国际社会的高度关注。深信服作为此次全国两会网络安全保障主要技术支撑单位之一,在网络安保主管单位的统一指挥下,以强大的安全能力和专业的服务团队,圆满完成了安全检测、现场安全检查、现场安全值守、应急响应处置等多项网络安全保障工作,得到了网络安保主管单

  • 深信服下一代防火墙以最高排名获得CyberRatings.org AAA评级

    近日,国际第三方安全研究和评测机构CyberRatings.org发布了“ 2021 年企业防火墙+SSL/TLS产品评级”,深信服凭借下一代防火墙出色的安全性(99.7%安全有效性测评最高分)、良好的稳定性和可靠性、更具竞争力的总拥有成本,以及客户高满意度等方面在 11 家供应商中脱颖而出,以最高排名获得AAA评级,是国内唯一获得评级的厂商。企业防火墙评级图表,来源于CyberRatings.org《2021 Ratings Chart for Enterprise Firewall + SSL/TLS

  • 15万摄像头遭入侵,深信服免费提供视频监控网络安全体检服务

    近日, 15 万摄像头被黑,知名汽车厂商内部监控摄像头却躺枪,给各行业敲醒了一记警钟。据外媒彭博社报道,一群黑客自曝入侵了硅谷某初创公司的安全摄像头系统,盗取了 15 万个监控摄像头的实时视频。多个采用该公司安全摄像头的医院、警局、监狱及企业,内部监控视频被泄露,其中还包括某全球知名汽车厂商。黑客号称已入侵该汽车厂商工厂及仓库内的 222 个摄像头。从已泄露的监控视频中可以看到,该汽车厂商的组装线上,几名工人?

  • 公众号、小程序怎么做微信服务搜索?搜一搜服务搜索排名规则解析

    我们在讲微信搜一搜里服务搜索前,应该先来讲讲这个微信搜一搜。微信搜一搜之前叫微信搜索,后面更名过来的。那微信搜一搜功能有哪些呢?

  • 深信服EDR轻补丁免疫有效应对漏洞防护空窗期

    漏洞利用攻击是网络黑客最常用的攻击手段之一危害大防护难度高尤其在漏洞发现之后补丁修复之前的时间内是黑客攻击的窗口期也是安全防护的空窗期如何在漏洞披露后第一时间修复用户环境减少漏洞利用的潜在风险成为组织单位十分关注的问题漏洞窗口期黑客持续攻击安全风险极高1补丁未发布系统裸奔微软一般会在每个月的第二周定期发布系统更新补丁因此从高危漏洞的发现到补丁的发布一般存

  • 深信服EDR完成与国内八大主流操作系统、CPU兼容认证

    深信服终端检测响应平台EDR(简称“EDR”)目前已完成中标麒麟、银河麒麟、统信和中科方德操作系统,兆芯、龙芯、飞腾和宝德鲲鹏CPU的兼容认证(排名不分先后)!实现与国内八大国内主流操作系统、CPU兼容,为广大的用户提供企业级可靠的终端安全防御,助力构建安全的信息技术体系。 全面兼容国内八大主流操作系统、CPU深信服EDR与国内操作系统、CPU的认证测试,涵盖了产品兼容性测试、产品功能性测试、产品性能测试和产品运行稳定性测?

  • 腾讯云与深信服达成战略合作,携手推动云网融合建设

    1月29日,腾讯云与深信服签署战略合作协议,正式达成战略合作伙伴关系。双方将在云网资源、产品技术、服务体系等方面进行优势互补和深度融合,携手推动云网融合建设在全国的发展,全面提升用户网络体验和保障业务高效安全上云,推动企业数字化、智能化升级。腾讯云副总裁陈平与深信服副总裁赵剑初出席现场签约仪式此次签约仪式上,腾讯公司高级执行副总裁、云与智慧产业事业群总裁汤道生、深信服科技董事长何朝曦发表致辞:“深信服在企?

  • 深信服深蓝攻防实验室荣获第二届华为DIGIX安全攻防大赛“最佳实力奖”

    2021 年 1 月 4 日,为期半月的第二届华为DIGIX安全攻防大赛拉开序幕。此次大赛邀请了深信服、长亭、腾讯等国内知名白帽子队伍,在真实环境下对防守严密的真实目标发起不预先通知的、基于单点纵深的红蓝对抗攻防演练,旨在深入检验特定目标的真实安全防护能力。深信服深蓝攻防实验室在此次大赛中凭借出色的发挥荣获最佳实力奖,赢得了各参赛队伍及赛事主办方的一致认可。凭借着多年来在国家级、省级攻防演练中沉淀下来的丰富实战经

  • 信服务号灰度测试订阅通知功能 模板消息或逐步下线?

    日前,微信官方团队宣布灰度测试服务号订阅通知功能,支持开发者可在服务号图文消息、网页等场景设置订阅功能,用户自主订阅后,开发者可按需求下发一条对应的订阅通知。根据公告,服务号订阅通知灰度测试期自2021年1月27日0:00至4月30日24:00,期间服务号模板消息可正常使用;灰度测试期结束后服务号订阅通知的策略将另行公布,届时以官方信息为准。为此,微信开发社区用户(Mr.YAO)称,服务号?

  • 微盛·企微管家完成亿元级融资,腾讯红杉再度加码企业微信服务赛道

    2021年1月29日,企业微信服务商 微盛·企微管家发布消息,宣布完成由腾讯领投、红杉中国跟投的亿元级A+轮融资,继上轮腾讯和红杉的投资仅隔5个月。微盛创始人杨明表示,本轮融资主要用于产品研发和服务团队建设,继续夯实微盛在赛道中的领先优势。 对于本次投资,红杉资本中国基金合伙人郑庆生表示:企业微信的生态在2020年取得了长足的发展,建立了与消费者和工作者的强大连接能力,基于这种能力,企业能够构建各种多元形态的流?

  • 深信服连续十年入选Gartner SWG 魔力象限

    在全球领先的研究顾问公司Gartner发布的2020 Gartner SWG魔力象限中,深信服再次被评为细分市场主导者(NICHE PLAYERS)。值得注意的是,这是深信服第十年入选Gartner SWG魔力象限。严格来说,2011- 2020 年,连续十年进入Gartner SWG魔力象限的中国厂商,只有深信服。十年来,深信服初心未变,在全网行为管理AC的投入始终顺应潮流紧跟用户需求,想用户之所想,坚持“持续创新,全情投入”,帮助用户实现有效易用的行为安全一体化管?

  • 深信服荣获2020年度科技兴医砥柱奖

    2020年12月26日,“2020HC3i数字医疗网年度盛典暨2020-2021年度科技兴医优秀解决方案颁奖典礼”在北京隆重召开。历经主办方专委会数月的调研评估,深信服医疗行业云化数据中心解决方案通过层层筛选,最终斩获“2020年度科技兴医优秀解决方案-行稳致远砥柱奖”。该奖项的获评肯定了深信服为医疗信息建设事业发展所做出的贡献,也体现了深信服在云计算领域的技术实力,以及在医疗行业拥有的广泛的用户实践。新冠疫情的爆发,加速了信

  • 基于深信服HCI&SDS的英特尔®精选解决方案,实现性能无忧,数据增值

    12月17日,基于深信服HCI&SDS的英特尔?精选解决方案推介会暨深信服EDS存储高性能版本发布会在线上举行。为了解决传统数据中心架构所暴露出的维护成本过高、扩展困难、生命周期短以及海量数据处理效率低、数据孤岛等问题,深信服与英特尔双方团队历经长达7个月的打磨、测试和调优,这一面向数据中心数据处理与存储的精选解决方案终于与大家见面!深信服科技股份有限公司副总裁陈彦彬、英特尔市场营销集团副总裁张怡幡、英特尔公司市?

  • 热门标签