注意!NSA逆向工程工具存在远程代码执行漏洞
更多全球网络安全资讯尽在E安全官网www.easyaq.com
小编来报:NSA (美国国家安全局) 3月初发布的通用反汇编和反编译程序Ghidra存在远程代码执行漏洞,Ghidra在加载工程时会存在XXE。
据外媒报道,有研究人员表示,NSA (美国国家安全局) 3月初发布的通用反汇编和反编译程序Ghidra存在远程代码执行漏洞,Ghidra在加载工程时会存在XXE。
GitHub的一份报告显示,任何一个能够欺骗用户打开或恢复设计项目的人,都可以利用这个漏洞来影响项目的打开/恢复。
复现漏洞需要新建一个项目,然后将XXE有效负载放在项目目录中的XML文件中。一旦打开项目,就会执行有效负载。使用sghctoma句柄的研究人员发现,该漏洞也在归档项目(.gar files)中存在。
研究人员表示,基于之前对XXE漏洞利用的研究,发现了攻击者可以利用Windows操作系统中NTLM协议的Java特性和弱点来实现远程代码执行。
要远程利用该漏洞,攻击者需要部署具有NTLM身份验证的HTTP服务器,然后使用XXE/SSRF漏洞强制用户进行NTLM身份验证。NTLM中继攻击可以从本地身份验证转移到网络身份验证。
当受害者使用Ghidra打开这个恶意项目时,攻击者可以从受害者的机器上获得NTLM Hash,从而在受害者的机器上执行任意命令。
要预防这个问题,应该配置Windows防火墙来阻止传入的SMB请求。如果需要SMB服务器,则启用SMBSign,并将JDK升级到最新版本。
XXE漏洞将在Ghidra的下一个版本(即9.0.1)中得到解决。不过,最新版本尚未公布。
注:本文由E安全编译报道,转载请注明原文地址
https://www.easyaq.com
推荐阅读:
▼点击“阅读原文” 查看更多精彩内容
喜欢记得打赏小E哦!