聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士团队
NSA 在三月初发布的开源逆向工具 Ghidra 被曝可用于执行远程代码。
该漏洞是一个 XML 外部实体 (XXE) 问题,存在于Ghidra 项目加载进程中。该工具一经发布即被指存在该漏洞。GitHub 上的一份报告指出,它影响 Ghidra 的“打开/恢复”操作,任何人只要能够诱骗用户打开或恢复某个特殊构造的项目即可利用该漏洞。
要复现该漏洞,攻击者需要能够创建一个项目之后关闭它,然后在项目目录的任意 XML 文件中放入 XXE 有效负载。项目打开后,有效负载即被执行。
昵称为 sghctoma 的研究人员发现了这个漏洞,他表示该漏洞也可在文档项目(.gar 文件)中被触发。
周一,腾讯安全研究人员公布了如何利用该 XXE 漏洞在受害者机器上远程执行代码的信息。研究人员指出,攻击者能够滥用 Windows 操作系统中的 Java 功能和弱点来实现远程代码执行。
要远程利用该漏洞,攻击者需要部署带有 NTLM 认证的 HTTP 服务器,然后利用 XXE/SSRF 漏洞强制受害者进行 NTLM 认证。NTLM 中继攻击可被用于从本地认证转移至网络认证。研究人员已发布 PoC 和详情。研究人员指出,当受害者使用 Ghidra 打开该恶意项目时,攻击者能够从受害者机器中获取 NTLM 哈希,因此能够在受害者设备上执行任意命令。
要缓解该漏洞,应当将 Windows 防火墙配置为阻止 SMB 请求进入,如需要 SMB 服务器则启用 SMB 签名并更新至最新的 JDK 版本。
该 XXE 漏洞将在下一个版本 Ghidra 9.0.1 中修复。
推荐阅读
原文链接
https://www.securityweek.com/vulnerability-nsas-reverse-engineering-tool-allows-remote-code-execution
本文由代码卫士编译,不代表其观点,转载请注明“转自代码卫士 www.codesafe.cn”。
代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
