Phát hiện lỗ hổng bảo mật nghiêm trọng trong bộ công cụ Reverse Engineering "GHIDRA" của NSA
Đầu tháng 3/2019, bộ công cụ reverse engineering của NSA có tên gọi là Ghidra đã chính thức được công bố. Ngay sau khi phát hành, các nhà nghiên cứu bảo mật đã bắt đầu phát hiện ra lỗi của bộ công cụ. Trong đó, một lỗ hổng bảo mật nghiêm trọng bên trong Ghidra có thể cho phép kẻ tấn công tiến hành các cuộc tấn công thực thi mã lệnh từ xa.
Phát hiện lỗ hổng bảo mật nghiên trọng trong bộ công cụ Reverse Engineering "GHIDRA" của NSA - CyberSec365.org |
Cụ thể, một nhà nghiên cứu bảo mật có biệt danh "sghctoma" đã phát hiện ra lỗ hổng bảo mật nghiêm trọng trong công cụ "Ghidra" chỉ 24 giờ sau khi nó được chính thức phát hành. Trong tiết lộ của mình trên Twitter, sghctoma cho biết anh đã tìm thấy được lỗ hổng XML external entity (XXE).
Phát hiện lỗ hổng bảo mật nghiên trọng trong bộ công cụ Reverse Engineering "GHIDRA" của NSA - CyberSec365.org |
Trên Github của mình, sghctoma mô tả lỗi này như sau:
“Project open/restore is susceptible to XML External Entity Expansion attacks. This can be exploited in various ways by getting someone to open/restore a project prepared by attacker.”Ngay sau những phát hiện của sghctoma, các nhà nghiên cứu bảo mật tại Tencent Security Lab cũng bắt đầu tìm kiếm các lỗ hổng khác và đã tìm thấy một số điểm yếu trong giao thức NTLM trên hệ điều hành Windows. Lỗ hổng XXE, khi được kết hợp vơi các tính năng có sẵn trong Java và lỗ hổng trong giao thức NTLM có thể cho phép kẻ tấn công thực thi mã lệnh tuỳ ý từ xa.
“When victim use Ghidra to open this malicious project, attacker can obtain NTLM Hash from the victim’s machine, therefore execute arbitrary command on victim’s machine.”Các nhà nghiên cứu của Tencent cũng chia sẻ bằng chứng về khái niệm phương pháp tấn công. Họ giải thích rằng kẻ tấn công tiềm năng có thể tạo tệp Ghidra độc hại với khai thác XXE, sau đó giúp chúng thực thi mã trên máy nạn nhân.
Đáp lại báo cáo của nhà nghiên cứu sghctoma trên Github, một nhà phát triển NSA đã trả lời thông báo về việc vá lỗ hổng.
“I made factory methods to create properly configured SAXParsers and SAXBuilders, and refactored everything to use them.”Bên cạnh đó, nhà nghiên cứu cũng xác nhận rằng bản vá lỗi sẽ được phát hành cùng với phiên bản Ghidra 9.0.1 sắp tới.
“The fix is part of the 9.0.1 release, which is not yet public… The vulnerability is in how the software parses XML (not just Projects, but Tools, etc.), not in the projects themselves. So when, or with what version the project was created does not matter.”
Nguồn: Latest Hacking News
Không có nhận xét nào