信息來(lái)源:51cto
前陣子我們報(bào)導(dǎo)過(guò)關(guān)于軟件逆向工程(SRE)框架 Ghidra 開(kāi)源的消息�����,Ghidra 是由美國(guó)國(guó)家安全局(NSA,National Security Agency)的研究理事會(huì)為 NSA 的網(wǎng)絡(luò)安全任務(wù)開(kāi)發(fā)的軟件逆向工程(SRE)框架���,它有助于分析惡意代碼和病毒等惡意軟件�����,并可以讓網(wǎng)絡(luò)安全專業(yè)人員更好地了解其網(wǎng)絡(luò)和系統(tǒng)中的潛在漏洞��。
Ghidra 強(qiáng)大研發(fā)背景與應(yīng)用能力讓開(kāi)發(fā)者驚嘆���,目前其 GitHub star 數(shù)已經(jīng)超過(guò)了 11k。但是近日它卻被發(fā)現(xiàn)存在一個(gè)漏洞�����。雖然軟件中出現(xiàn)漏洞是挺正常的事,但是由于這個(gè)項(xiàng)目的屬性和它的背景�,再加上超高的關(guān)注度,曝出這樣一個(gè)漏洞還是形成了比較大的反差�,也讓人感興趣。
研究者發(fā)現(xiàn)在 Ghidra 加載工程的過(guò)程中會(huì)出現(xiàn)一個(gè) XML External Entity Expansion 外部實(shí)體擴(kuò)展攻擊漏洞(XXE)��,攻擊者可以通過(guò)誘騙受害者打開(kāi)或恢復(fù)特制的項(xiàng)目�,繼而以各種方式進(jìn)行利用。
而隨后�,騰訊安全玄武實(shí)驗(yàn)室還將該漏洞演變?yōu)檫h(yuǎn)程代碼執(zhí)行漏洞(Remote Code Execute,RCE)���。研究者在對(duì) Ghidra XXE 漏洞利用的研究過(guò)程中發(fā)現(xiàn)���,攻擊者可以利用 Java 中的特性以及 Windows 操作系統(tǒng)中 NTLM 認(rèn)證協(xié)議的缺陷,組合起來(lái)完成 RCE�����。
目前該漏洞已經(jīng)被修復(fù)�。
詳細(xì)的利用細(xì)節(jié)查看:
https://github.com/NationalSecurityAgency/ghidra/issues/71
https://xlab.tencent.com/cn/2019/03/18/ghidra-from-xxe-to-rce
