你可以打破链条
Microsoft的攻击表面分析仪(ASA)可以反对系统来保护使用复杂的三部分攻击,安全研究员Parsia Hakimian已经证明。
Hakimian在运行ASA的系统中挂在一起三个错误,以实现运行ASA的系统中的远程代码执行(RCE)。
他放在一起的概念验证是有点讽刺,因为攻击表面分析仪旨在扫描操作系统以分析改变安装的应用程序已经制作了(即潜在问题)而不是成为攻击本身的导管。
舞台的攻击之一取决于ASA使用电子网络的使用,该工具将Web应用程序作为桌面应用程序。beplay体育能用吗
ASA是基于Electron.NET的顶部,但实现中的错误是指攻击者可以使用目标受害者的Web浏览器来访问ASA,底层应用程序。beplay体育能用吗
获得点火是利用a的重要预先存在跨站脚本(XS.)漏洞(阶段二)。
“远程攻击者可以使用ASA电子应用程序由受害者执行的嵌入式JavaScript提交一个杂志,”Hakimian解释说。
第三阶段 - 并爆炸 - 涉及利用XSS缺陷来实现RCEnode integration.。
Hakimian报告了上个月末微软的问题。Redmond确认了这个问题并开发了一个修复,本月早些时候发布。
可以在三阶段攻击中找到完整的写作博客文章通过哈利安。
