近日,Tenable旗下广泛部署的漏洞评估平台Nessus Agent被披露存在一处严重安全缺陷,影响所有运行于Windows环境的代理程序。该漏洞允许本地攻击者利用NTFS文件系统的交接点(Junction)机制,最终以操作系统最高权限——SYSTEM权限执行任意代码,对采用该产品进行持续性漏洞扫描的企业构成重大威胁。
技术机制
漏洞本质属于典型的符号链接攻击(Symlink Attack),具体滥用了Windows NTFS交接点的目录重定向特性。NTFS交接点是一种文件系统对象,能够将对某一目录的访问透明地重定向至另一目录。当拥有SYSTEM权限的Nessus Agent服务在执行文件操作时,若未能充分校验目标路径的真实性,就会盲目跟随攻击者预先埋设的恶意交接点。
攻击利用链
攻击者只需具备目标主机的本地访问能力,便可在Nessus Agent服务例行操作的目录下精心构造一个交接点,将服务的文件删除动作重定向到系统关键文件或其他核心目录。借助这种受控的文件破坏,攻击者得以腐蚀操作环境,进而植入恶意载荷,并利用服务进程的SYSTEM上下文完成载荷执行。由于SYSTEM账户的权限超越默认管理员账户,成功利用此漏洞后,攻击者有能力修改任意受保护文件、植入内核级Rootkit、关闭安全防护工具,并在多次重启后仍维持持久化访问。
受影响范围
该漏洞的影响范围明确限于Windows平台下的Nessus Agent安装实例。在典型的企业部署场景中,Nessus Agent常驻于各类服务器、域控制器、数据库主机及关键工作站上,一旦这些资产被攻陷,攻击者即可借助其高权限横向移动,导致整个安全防护体系的崩塌。
厂商修复与响应
Tenable已在Nessus Agent 11.1.3版本中完成了漏洞修复,并通过官方下载门户向用户提供。官方在安全公告中强调,所有用户应立即规划升级,以最大程度缩短风险敞口,同时重申将继续贯彻负责任的漏洞披露原则,与安全研究人员保持紧密协作,驱动产品漏洞的快速响应。Tenable亦呼吁安全社区将新发现的隐患直接报送官方,共同完成协同修复。
处置建议
对于安全运维团队而言,本次更新应当作为优先部署事项,尤其需要在面向互联网的高价值Windows系统或存有敏感数据的服务器上紧急执行升级操作。若短时间内无法完成版本更新,建议结合主机访问控制列表(ACL)与系统审计策略,严格限制低权限用户对Agent运行目录的写权限,持续监控异常的交接点创建行为,作为临时性缓解措施。
资讯来源:Tenable官方安全公告 | 
发表于 4 小时前
|
查看: 9|
回复: 0
