Netop是一款受众群体普遍的手机软件身后的开发公司,此软件致力于让老师远程连接学生计算机。迄今为止,该公司已修补了其服务平台中的四个安全性漏洞。
科学研究工作人员说,公司Netop Vision Pro系统软件中的重要漏洞可以使网络攻击挟持院校互联网、散播恶意程序、明确学员的IP地址、开展监听等。
科学研究工作人员说,这种漏洞已于12月11日向Netop公布。到2月中旬,该公司已公布了处理一些问题的升级版本(在Netop Vision Pro版本9.7.2中)。
“在2月中旬公布的Netop Vision Pro 9.7.2中,Netop已修补了当地管理权限更新,对过去的密文Windows凭证开展了数据加密,并减轻了MChat手机客户端中远程控制系统文件上的随意读/写,”McAfee Labs Advanced Threat Research团队星期日公布的一份汇报如此写到,也恰好是由 McAfee Labs高級危害科学研究工作组发觉了这种漏洞。
未数据加密的Netop数据流量
科学研究工作人员说,发觉的第一个问题(“ CWE-319:比较敏感数据的密文传送”)是未数据加密的数据流量。她们填补说,该业务的一部分包含持续向医生推送学生计算机的屏幕截屏,这就打开了潜在性的隐私保护问题。
汇报说:“因为沒有数据加密,因此这种图象是密文推送的。” “网络连接上的所有人都能够监听这种图象并远程控制查询学员显示屏的內容。每过几秒推送一次新的屏幕截屏,为老师和全部监听者给予几乎每一个学生计算机的即时流。”
根据将信用卡设定为混乱模式,并应用网络视频监控专用工具对位图文件(例如Driftnet)开展监管,科学研究工作人员可以爬取屏幕截屏。她们说,这类进攻给大家的一个警示是,一切要想监控这种会话的危害个人行为者都必须浏览同一网络连接。
对Netop互联网开展反向工程
另一个bug(“ CWE-863:受权不正确”)来源于网络攻击效仿老师工作平台的工作能力。科学研究工作人员反方向设计方案了老师客户数据信息报协议书(UDP)信息,它根据ping网络来提醒老师在互联网上的部位。她们根据应用“模糊不清器”全自动检测仪将任意数据信息编码序列键入到操作系统中,并留意下面产生的状况。
汇报说:“在对UDP数据开展了好多天的模糊不清解决以后,大家可以鉴别出几件事。”“最先,大家发觉缺乏对字符串长度的查验;次之,模糊不清器推送的任意值被立即载入Windows注册表文件。”该汇报还发觉该应用软件从来不容许她们遮盖一切关键数据信息。
科学研究工作人员还发觉,在推送第一个UDP信息以后,此后推送的全部信息全是传输控制协议(TCP),这使老师对班里别的同学维持tcp协议开启。
进一步的评定揭露了三个真实身份短信验证码,科学研究工作人员称作“token”,他们操纵了老师学生中间的浏览。学生和老师每个人被划分到一个静止的、唯一的编码。她们的分析表明,还必须第三个身份认证“token”,与编码中的“分派给堆的运行内存范畴”数据配对,进而使网络攻击可以预测分析和运用该数据。
汇报表述说,这样一来,科学研究工作人员有着了建立自身的老师工作平台所需求的物品,这代表着“网络攻击可以效仿教师并实行随意指令”。科学研究工作人员说,有着老师访问限制的网络攻击将可以在学员设备上启动应用程序,乃至大量。
权利和管理权限bug
科学研究工作人员还发觉权利并没有被删掉,这代表着权利是在安装程序时确认的,但以后沒有根据“ ShellExecute”途径开展查验。
科学研究工作人员说:“大家看到了4个事例中的权利沒有降低,可是没有一个可以根据网站访问”, “即便如此,他们依然很有可能有效,因此大家对他们开展了调研。” 该不正确被称作“ CWE-269:不正确的管理权限分派”。
第一种是客户应用预添充的URL开启Internet Explorer时,其他三个与软件相关,这种软件绕开了“另存”,“屏幕快照查看器”和“有关”网页页面的“系统信息”对话框中的文档过滤装置。
科学研究工作人员表述说:“大家采用了一种旧技术性,即应用‘另存’按键导航栏到cmd.exe所属的文件夹名称并实行它。“转化成的CMD过程承继了父过程的系统软件权利,为客户带来了系统软件级shell。”
该精英团队可以运用此进攻来“屏蔽掉空缺学员”,重启Netop应用软件,阻拦Internet浏览这些。
挟持闲聊作用
最终依据结果报告显示,因为CVSS得分9.5(100分10)的bug(“ CWE-276:有误的默认设置管理权限”)的存有,科学研究工作人员得到挟持Chat作用,将文字或文档发送至学生计算机。
汇报说:“深入分析闲聊应用软件的作用后,大家看到教师还具备载入学员'工作中文件目录'中的资料并删掉在其中文档的力。”“CVE-2021-27195证实了大家的发觉,我们可以运用模拟仿真编码做为网络攻击,从同一网络连接上的远程控制进攻媒体载入,读取和删去此‘工作中文件目录’中的文档。”
科学研究工作人员表述说,该应用软件自始至终在运作,并假定互联网上的每台机器设备都能够当教师,并让别的每个人了解她们在哪儿,进而使危害参加者可以简单地出自于多种目地挟持该系统软件。
“网络攻击无须毁坏院校互联网,她们所必须做的是寻找可浏览此系统的一切互联网,例如公共图书馆、咖啡厅或无线网络。” “这种学员的个人计算机在哪儿遭受进攻并不重要,由于精心策划的恶意程序可以休眠状态并扫描仪受感柒PC所联接的每一个互联网,直到发觉别的易受攻击的Netop Vision Pro案例来进一步散播感柒才行。”
教育行业的黑客攻击十分猖狂
各个领域的服务提供商都面对着那样的实际,即安全系数变成公司业务流程的关键驱动力之一,因而,必须有一个系统软件来回应并与社会道德安全性科研工作人员做好沟通交流,随后开展恰当的修补,这一点要求正变的更加关键和紧急。依据FBI和网络信息安全与基础设施建设安全局(CISA)在12月公布的申明,教育业正变成主要进攻的总体目标,尤其是勒索病毒的总体目标。CISA和FBI的报告书称,在上年8月至9月中间,对于K-12院校的勒索病毒进攻事情占全部汇报事情的57%。
瓦肯互联网公司(Vulcan Cyber)CEO亚尼夫•巴尔•达扬(Yaniv Bar Dayan)告知Threatpost:“全部领域在2020年将从实体线经营转为数据经营,文化教育也是如此”,“院校在指导教师核心的学习的方法及其学生和老师的安全性层面采用了严苛的战略方针,伴随着老师应用比往常大量的手机软件,而且现阶段手机软件很容易遭到进攻,IT安全性精英团队一直在不断弥补漏洞,以给予可靠的网上学习感受。要是没有优先,融洽,自动化技术和考量弥补的工作能力,保证这一点将是不太可能的。”
就在上月,中情局向安全性界传出了后面的雷电报警,勒索病毒PYSA已经打压教育局,包含高等职业教育、K-12文化教育和神学院。
Netop回复
就Netop来讲,它早已对McAfee汇报的任何信息做好了修补,但互联网数据加密作用以外。
科学研究工作人员说:“数据流量仍未数据加密,包含学生计算机的屏幕截屏,但Netop向大家确保,它已经勤奋对全部数据流量执行数据加密,以便未来升级。”
话虽如此,科学研究工作人员夸赞Netop对原始安全报告的快速响应行为:“Netop在这次事情的解决中,根据本次快速开发和公布更可靠的手机软件版本做出了优异的回应,并激励领域经销商将其做为行业研究工作人员回应的榜样。”
文中翻譯自:https://threatpost.com/security-bugs-virtual-learning-software/164953/倘若转截,请标明全文详细地址。