Vulnerabilidades críticas encontradas na ferramenta “Ghidra” da NSA recém-lançada

No início deste mês, a NSA de fonte aberta Ghidra – sua ferramenta de engenharia reversa. Logo após o lançamento, os pesquisadores começaram a descobrir bugs na ferramenta. Uma dessas vulnerabilidades críticas do Ghidra pode até levar à execução remota de código.

Vulnerabilidade de Ghidra RCE Crítica

Um pesquisador com o alias sghctoma no Twitter detectou uma vulnerabilidade crítica do Ghidra 24 horas após seu lançamento. Conforme divulgado em seu tweet, ele descobriu que a ferramenta contém uma vulnerabilidade de entidade externa XML (XXE).

Descrevendo o bug em seu relatório do Github , o pesquisador afirmou:

“A abertura / restauração do projeto é suscetível a ataques de expansão de entidade externa XML. Isso pode ser explorado de várias maneiras, fazendo com que alguém abra / restaure um projeto preparado pelo atacante. ”

Após sua descoberta, pesquisadores do Laboratório de Segurança Tencent também arranharam a superfície para encontrar outros detalhes. Eles descobriram pontos fracos no protocolo NTLM no sistema operacional Windows. A vulnerabilidade XXE, ao ser explorada por um invasor em potencial, juntamente com o abuso de recursos Java e vulnerabilidades do NTLM, pode levar à execução remota de código. Eles compartilharam suas descobertas em seu post no blog .

Os pesquisadores da Tencent também compartilharam a prova de conceito do método de ataque. Eles explicaram que um invasor em potencial pode criar um arquivo malicioso do Ghidra com exploração XXE, o que os ajuda a executar códigos no computador da vítima.

“Quando a vítima usa o Ghidra para abrir esse projeto malicioso, o invasor pode obter o NTLM Hash da máquina da vítima, portanto, execute um comando arbitrário na máquina da vítima.”

O seguinte demonstrou o ataque RCE em Ghidra da falha XXE.

Patch ainda para liberar

Em resposta ao relatório do Github do pesquisador sghctoma , um desenvolvedor da NSA respondeu informando sobre a correção.

“Fiz métodos de fábrica para criar SAXParsers e SAXBuilders devidamente configurados e refatorei tudo para usá-los.”

Além disso, o pesquisador também confirmou que uma correção estará disponível com o próximo lançamento do Ghidra 9.0.1.

“A correção é parte da versão 9.0.1, que ainda não é pública… A vulnerabilidade está em como o software analisa XML (não apenas Projetos, Ferramentas, etc.), não nos próprios projetos. Então, quando ou com qual versão o projeto foi criado, não importa. ”

Fonte: cybarrior

 

Canal theevolutiontech

Apenas mais um fã da grande rede , um maluco pela internet que passa grande parte do tempo conectado sempre a procura de novidades online , e sempre achando já que a rede é movida por novidades ...

Deixe um Comentário !