安全動(dòng)態(tài)

NSA 的軟件逆向工程框架 Ghidra 曝出漏洞

來源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2019-03-24    瀏覽次數(shù):
 

信息來源:51cto

前陣子我們報(bào)導(dǎo)過關(guān)于軟件逆向工程(SRE)框架 Ghidra 開源的消息,Ghidra 是由美國國家安全局(NSA,National Security Agency)的研究理事會(huì)為 NSA 的網(wǎng)絡(luò)安全任務(wù)開發(fā)的軟件逆向工程(SRE)框架,它有助于分析惡意代碼和病毒等惡意軟件,并可以讓網(wǎng)絡(luò)安全專業(yè)人員更好地了解其網(wǎng)絡(luò)和系統(tǒng)中的潛在漏洞。

Ghidra 強(qiáng)大研發(fā)背景與應(yīng)用能力讓開發(fā)者驚嘆,目前其 GitHub star 數(shù)已經(jīng)超過了 11k。但是近日它卻被發(fā)現(xiàn)存在一個(gè)漏洞。雖然軟件中出現(xiàn)漏洞是挺正常的事,但是由于這個(gè)項(xiàng)目的屬性和它的背景,再加上超高的關(guān)注度,曝出這樣一個(gè)漏洞還是形成了比較大的反差,也讓人感興趣。

研究者發(fā)現(xiàn)在 Ghidra 加載工程的過程中會(huì)出現(xiàn)一個(gè) XML External Entity Expansion 外部實(shí)體擴(kuò)展攻擊漏洞(XXE),攻擊者可以通過誘騙受害者打開或恢復(fù)特制的項(xiàng)目,繼而以各種方式進(jìn)行利用。

而隨后,騰訊安全玄武實(shí)驗(yàn)室還將該漏洞演變?yōu)檫h(yuǎn)程代碼執(zhí)行漏洞(Remote Code Execute,RCE)。研究者在對(duì) Ghidra XXE 漏洞利用的研究過程中發(fā)現(xiàn),攻擊者可以利用 Java 中的特性以及 Windows 操作系統(tǒng)中 NTLM 認(rèn)證協(xié)議的缺陷,組合起來完成 RCE。

目前該漏洞已經(jīng)被修復(fù)。

詳細(xì)的利用細(xì)節(jié)查看:

https://github.com/NationalSecurityAgency/ghidra/issues/71

https://xlab.tencent.com/cn/2019/03/18/ghidra-from-xxe-to-rce

 
 

上一篇:2019年03月23日 聚銘安全速遞

下一篇:“隔屏有耳”如何保護(hù)隱私安全