从这个网页截图中,可以获取到以下关于漏洞的关键信息: 1. 漏洞描述: - 漏洞类型:RCE(Remote Code Execution)通过任意文件写入到Windows系统根目录。 - 受影响版本:Splunk Enterprise for Windows版本低于9.3.0、9.2.3和9.1.6。 - 漏洞利用:低权限用户可以在不持有“admin”或“power”Splunk角色的情况下,写入文件到Windows系统根目录(默认位于C:\Windows\System32)。 - 影响:用户可能能够上传和执行代码,因为存在不安全的会话存储配置。 2. 搜索: - 使用Splunk的SPL(Search Processing Language)编写了检测恶意活动的搜索语句。 - 搜索语句包括检查特定时间范围内的应用程序创建事件,并分析这些事件是否与潜在的RCE攻击相关。 3. 数据源: - 数据源是Splunk Enterprise的内部索引。 - 使用的索引类型是 。 4. 宏使用: - 使用了两个宏: 和 。 - 后者是一个空宏,用于过滤掉任何可能的误报。 5. MITRE ATT&CK: - 涉及的攻击阶段包括“Exploitation of Remote Services”和“Lateral Movement”。 6. 风险评估: - 风险评分:45。 - 影响:90。 - 自信度:50。 7. 参考链接: - Splunk的官方安全公告链接。 8. 检测测试: - 检测通过了验证、单元测试和集成测试。 9. 版本信息: - 版本1。 这些信息提供了关于漏洞的详细描述、检测方法、风险评估和测试结果,有助于理解和应对这一安全威胁。