我正在使用 Tenable Nessus 和 OpenVAS 进行 Windows 操作系统漏洞评估。我注意到这两种产品都会检查我的操作系统文件是否低于 Microsoft 支持中心针对当前 CVE 规定的版本。
例如,对于 CVE-2019-1068,它会检查我的计算机是否具有低于 13.0.5026.0 的某些文件版本 我假设他们从以下链接获取信息: KB信息
我的问题是,检查我的计算机上安装的最新累积更新 (KB),然后检查我的最新 KB 的发布日期是否低于 CVE 的发布日期不是更简单吗?
我尝试在网上搜索并联系这些公司,但没有成功。 任何帮助将不胜感激
我不能代表 Nessus,但我使用 OpenVAS,我不完全确定您是否完全理解该产品的工作原理。 OpenVAS 具有各种扫描选项和各种检测选项。 您既没有提及您使用的任何设置,也没有提及哪些 Feed。
但仍然要尝试回答您的问题:有一些 VT(漏洞测试)实际上尝试以恶意方式联系服务,其回复显示存在漏洞(一个很好的例子是著名的 iis 错误 CVE-2015-1635) ,有些甚至被认为是危险的,必须单独选择,因为它们可能导致系统崩溃,而另一些则简单地依赖版本号响应或指纹识别技术。 结果大多数时候不是 100% 可靠,因此他们得到的概率分数低于 100%。
漏洞扫描器不会检测网络中所有潜在的漏洞,因为这取决于它可以到达哪些服务、如何与这些服务通信(经过身份验证或未经身份验证),以及如果某些易受攻击的服务仅限于与某些系统通信,OpenVAS 将不会捕获它们,但它们也不会对您的环境构成风险(取决于与之通信的系统)。
话虽如此,最后回答你的问题:当你知道某个特定的 CVE 将通过某个服务或文件版本修复时,当然最可靠的方法是检查版本号。但随着网络规模的扩大,您很快就会发现自己无法手动跟踪所有服务和文件版本以及 CVE。
请记住,漏洞扫描器的构建是为了查找它可以到达的服务/设备的已知漏洞。因此,请将其放置在环境的所有相关子网中,攻击者可能会在其中搜索漏洞并发起攻击。 如果您正在寻找工具来确保您完全控制的设备的服务版本,那么有比 OpenVAS 更好的解决方案(例如补丁管理解决方案)。