注意！NSA逆向工程工具存在远程代码执行漏洞

据外媒报道，有研究人员表示，NSA (美国国家安全局) 3月初发布的通用反汇编和反编译程序Ghidra存在远程代码执行漏洞，Ghidra在加载工程时会存在XXE。

GitHub的一份报告显示，任何一个能够欺骗用户打开或恢复设计项目的人，都可以利用这个漏洞来影响项目的打开/恢复。

复现漏洞需要新建一个项目，然后将XXE有效负载放在项目目录中的XML文件中。一旦打开项目，就会执行有效负载。使用sghctoma句柄的研究人员发现，该漏洞也在归档项目(.gar files)中存在。

研究人员表示，基于之前对XXE漏洞利用的研究，发现了攻击者可以利用Windows操作系统中NTLM协议的Java特性和弱点来实现远程代码执行。

要远程利用该漏洞，攻击者需要部署具有NTLM身份验证的HTTP服务器，然后使用XXE/SSRF漏洞强制用户进行NTLM身份验证。NTLM中继攻击可以从本地身份验证转移到网络身份验证。

当受害者使用Ghidra打开这个恶意项目时，攻击者可以从受害者的机器上获得NTLM Hash，从而在受害者的机器上执行任意命令。

要预防这个问题，应该配置Windows防火墙来阻止传入的SMB请求。如果需要SMB服务器，则启用SMBSign，并将JDK升级到最新版本。

XXE漏洞将在Ghidra的下一个版本（即9.0.1）中得到解决。不过，最新版本尚未公布。

声明：本文来自E安全，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。