修復虛擬學習軟件中的關鍵安全錯誤
Netop是一款受眾廣泛的軟件背后的開發公司,該軟件旨在讓教師遠程訪問學生計算機。目前為止,該公司已修復了其平臺中的四個安全漏洞。
研究人員說,公司Netop Vision Pro系統中的關鍵漏洞可以使攻擊者劫持學校網絡、傳播惡意軟件、確定學生的IP地址、進行竊聽等。
研究人員說,這些漏洞已于12月11日向Netop披露。到2月下旬,該公司已發布了解決一些問題的更新版本(在Netop Vision Pro版本9.7.2中)。
“在2月下旬發布的Netop Vision Pro 9.7.2中,Netop已修復了本地權限升級,對以前的明文Windows憑據進行了加密,并緩解了MChat客戶端中遠程文件系統上的任意讀/寫,”McAfee Labs Advanced Threat Research團隊周日發布的一份報告如此寫到,也正是由 McAfee Labs高級威脅研究小組發現了這些漏洞。
未加密的Netop網絡流量
研究人員說,發現的第一個問題(“ CWE-319:敏感信息的明文傳輸”)是未加密的網絡流量。他們補充說,該服務的一部分包括不斷向老師發送學生計算機的屏幕截圖,這就打開了潛在的隱私問題。
報告說:“由于沒有加密,所以這些圖像是明文發送的。” “本地網絡上的任何人都可以竊聽這些圖像并遠程查看學生屏幕的內容。每隔幾秒鐘發送一次新的屏幕截圖,為老師和所有竊聽者提供幾乎每個學生計算機的實時流。”
通過將卡片設置為混亂模式,并使用網絡監控工具對圖像文件(例如Driftnet)進行監控,研究人員能夠抓取屏幕截圖。他們說,這種攻擊給我們的一個警告是,任何想要監視這些對話的威脅行為者都需要訪問同一本地網絡。
對Netop網絡進行逆向工程
另一個bug(“ CWE-863:授權錯誤”)源于攻擊者模仿教師工作站的能力。研究人員反向設計了教師用戶數據報協議(UDP)消息,它通過ping網絡來提示教師在網絡上的位置。他們通過使用“模糊器”自動測試儀將隨機數據序列輸入到系統中,并觀察接下來發生的情況。
報告說:“在對UDP數據包進行了幾天的模糊處理之后,我們能夠識別出兩件事。”“首先,我們發現缺少對字符串長度的檢查;其次,模糊器發送的隨機值被直接寫入Windows注冊表。”該報告還發現該應用程序從不允許他們覆蓋任何重要數據。
研究人員還發現,在發送第一個UDP消息之后,此后發送的所有消息都是傳輸控制協議(TCP),這使教師對班上其他同學保持套接字打開。
進一步的評估揭示了三個身份驗證碼,研究人員稱之為“token”,它們控制了學生和老師之間的訪問。老師和學生每個人都被分配到一個靜態的、唯一的代碼。他們的分析表明,還需要第三個身份驗證“token”,與代碼中的“分配給堆的內存范圍”數字匹配,從而使攻擊者可以預測和利用該數字。
報告解釋說,這樣一來,研究人員擁有了創建自己的教師工作站所需要的東西,這意味著“攻擊者可以模仿老師并執行任意命令”。研究人員說,擁有教師訪問權限的攻擊者將能夠在學生機器上啟動應用程序,甚至更多。
特權和權限bug
研究人員還發現特權并未被刪除,這意味著特權是在安裝軟件時確定的,但之后沒有通過“ ShellExecute”路徑進行檢查。
研究人員說:“我們發現了4個例子中的特權沒有減少,但是沒有一個可以通過網絡訪問”, “盡管如此,它們仍然可能有用,所以我們對它們進行了調查。” 該錯誤被稱為“ CWE-269:錯誤的權限分配”。
第一種是用戶使用預填充的URL打開Internet Explorer時,其余三個與插件有關,這些插件繞過了“另存為”,“屏幕快照查看器”和“關于”頁面的“系統信息”窗口中的文件過濾器。
研究人員解釋說:“我們使用了一種舊技術,即使用‘另存為’按鈕導航到cmd.exe所在的文件夾并執行它。“生成的CMD進程繼承了父進程的系統特權,為用戶提供了系統級shell。”
該團隊能夠使用此攻擊來“屏蔽空白學生”,重新啟動Netop應用程序,阻止Internet訪問等等。
劫持聊天功能
最后根據報告顯示,由于CVSS評分9.5(滿分10)的bug(“ CWE-276:不正確的默認權限”)的存在,研究人員得以劫持Chat功能,將文本或文件發送到學生計算機。
報告說:“深入研究聊天應用程序的功能后,我們發現老師還具有讀取學生'工作目錄'中的文件并刪除其中文件的力。”“CVE-2021-27195證明了我們的發現,我們可以利用仿真代碼作為攻擊者,從同一本地網絡上的遠程攻擊媒介寫入,讀取和刪除此‘工作目錄’中的文件。”
研究人員解釋說,該應用程序始終在運行,并假設網絡上的每臺設備都可以當老師,并讓其他所有人知道他們在哪里,從而使威脅參與者可以輕松地出于各種目的劫持該系統。
“攻擊者不必破壞學校網絡,他們所需要做的就是找到可訪問此軟件的任何網絡,例如圖書館、咖啡店或家庭網絡。” “這些學生的個人電腦在哪里受到攻擊并不重要,因為精心設計的惡意軟件可以休眠并掃描受感染PC所連接的每個網絡,直到發現其他易受攻擊的Netop Vision Pro實例來進一步傳播感染為止。”
教育領域的網絡攻擊十分猖獗
各行各業的服務提供商都面臨著這樣的現實,即安全性成為公司業務的主要推動力之一,因此,需要有一個系統來響應并與道德安全研究人員進行溝通,然后進行適當的修復,這一點需求正變得越來越重要和緊迫。根據FBI和網絡安全與基礎設施安全局(CISA)在12月發布的聲明,教育行業正成為重點攻擊的目標,尤其是勒索軟件的目標。CISA和FBI的報告稱,在去年8月至9月之間,針對K-12學校的勒索軟件攻擊事件占所有報告事件的57%。
瓦肯網絡公司(Vulcan Cyber)首席執行官亞尼夫•巴爾•達揚(Yaniv Bar Dayan)告訴Threatpost:“整個行業在2020年將從實體運營轉向數字運營,教育也不例外”,“學校在指導老師主導的學習方法以及老師和學生的安全方面采取了嚴格的方針,隨著教師使用比以往更多的軟件,并且目前軟件非常容易遭受攻擊,IT安全團隊總是在不斷地填補漏洞,以提供安全的在線學習體驗。如果沒有優先級,協調,自動化和衡量補救的能力,做到這一點將是不可能的。”
就在上個月,聯邦調查局向安全界發出了后續的閃電警報,勒索軟件PYSA正在打擊教育部門,包括高等教育、K-12教育和神學院。
Netop回應
就Netop而言,它已經對McAfee報告的所有內容進行了修復,但網絡加密功能除外。
研究人員說:“網絡流量仍未加密,包括學生計算機的屏幕截圖,但Netop向我們保證,它正在努力對所有網絡流量實施加密,以備將來更新。”
話雖如此,研究人員稱贊Netop對初始安全報告的快速響應行動:“Netop在此次事件的應對中,通過此次快速開發和發布更安全的軟件版本作出了出色的響應,并鼓勵行業供應商將其作為行業研究人員響應的模范。”
本文翻譯自:https://threatpost.com/security-bugs-virtual-learning-software/164953/如若轉載,請注明原文地址。
