Netop是一款广受欢迎的软件的开发者,该软件旨在让教师远程访问学生计算机。到目前为止,该公司已修复其平台中的四个安全漏洞。研究人员表示,该公司NetopVisionPro系统中的一个严重漏洞可能允许攻击者劫持学校网络、传播恶意软件、确定学生的IP地址、窃听他们等等。研究人员表示,这些漏洞已于12月11日披露给Netop。到2月下旬,该公司发布了修复了一些问题的更新版本(NetopVisionPro版本9.7.2)。“在2月底发布的NetopVisionPro9.7.2中,Netop修复了本地权限升级,加密了以前的纯文本Windows凭据,并减轻了MChat客户端中远程文件系统的任意读/写,McAfeeLabs周日发布的一份报告称AdvancedThreatResearchteam,whichdiscoveredthevulnerabilities.UnencryptedNetopnetworktrafficResearcherssaidthefirstissuediscovered("CWE-319:TransmissionofSensitiveInformationinClear")isunencryptednetworktraffic.他们补充说,该服务的一部分包括不断派遣教师学生计算机的屏幕截图,这引发了潜在的隐私问题。“由于没有加密,图像以明文形式发送,”报告说。“本地网络上的任何人都可以窃听图像并远程查看内容学生的屏幕。每隔几秒发送一次新的屏幕截图,因为老师和所有窃听者提供了几乎所有学生的实时流电脑。”通过将卡设置为混沌模式并使用网络监控工具监控图像文件,例如Driftnet,研究人员能够抓取屏幕截图。他们说,对这种攻击的一个警告是,任何想要监视这些对话的威胁行为者都需要访问同一个本地网络。对Netop网络进行逆向工程另一个错误(“CWE-863:授权错误”)源于攻击者冒充教师工作站的能力。研究人员对教师的用户数据报协议(UDP)消息进行了逆向工程,该消息会向网络发出ping信号,以提醒教师他们在网络上的位置。他们通过使用“模糊器”自动测试器将随机数据序列输入系统并观察接下来会发生什么来做到这一点。“经过几天混淆UDP数据包后,我们能够识别出两件事,”报告说。“首先,我们发现缺少对字符串长度的检查;其次,模糊器发送的随机值直接写入Windows注册表。”该报告还发现,该应用程序从未允许他们覆盖任何重要数据。研究人员还发现,在发送第一个UDP消息后,此后发送的所有消息都是传输控制协议(TCP),这允许教师保持套接字对全班其他人开放。进一步的评估揭示了三个验证码,研究人员称之为“令牌”,用于控制学生和教师之间的访问。教师和学生都被分配了一个静态的、唯一的代码。他们的分析表明,还需要第三个身份验证“令牌”,与代码中“分配给堆的内存范围”编号相匹配,从而允许攻击者预测和利用该编号。通过这种方式,研究人员拥有创建自己教师工作站所需的一切,这意味着“攻击者可以冒充教师并执行任意命令,”报告解释道。研究人员表示,拥有教师访问权限的攻击者将能够在学生机器等设备上启动应用程序。特权和权限漏洞研究人员还发现,特权并没有被删除,这意味着特权是在安装软件时确定的,但之后不会通过“ShellExecute”路径进行检查。研究人员说:“我们发现了4个特权没有减少的实例,但没有一个是网络可访问的。”“尽管如此,它们仍然有用,所以我们对它们进行了调查。”该错误被称为“CWE-269:不正确的特权分配”。第一个是当用户打开带有预填URL的InternetExplorer时,其余三个与绕过“关于”页面上的“另存为”、“屏幕截图查看器”和“系统信息”窗口的插件有关。文件过滤器。“我们使用了一种旧技术,即使用‘另存为’按钮导航到cmd.exe所在的文件夹并执行它,”研究人员解释说。》生成的CMD进程继承了父进程的系统权限,为用户提供了一个系统级的shell启用。“该团队能够使用这种攻击来“筛选空白学生”、重启Netop应用程序、阻止互联网访问等。由于CVSS评分为9.5(满分10)的漏洞,最终报告了劫持聊天功能(“CWE-276:不正确的默认权限”),研究人员能够劫持聊天功能,将文本或文件发送到学生计算机。“深入研究聊天应用程序的功能,我们发现教师也有阅读学生的能力'工作目录'并删除其中的文件。“”CVE-2021-27195表明我们发现我们可以使用模拟代码作为攻击者,从同一本地网络上的远程攻击媒介写入、读取和删除此“工作目录”中的文件。研究人员解释说,该应用程序始终在运行,并假设网络上的每台设备都可以充当老师,让其他人知道他们在哪里,这使得威胁行为者很容易为各种目的劫持设备。系统。“攻击者不必破坏学校网络,他们所需要做的就是找到任何可以访问该软件的网络,例如图书馆、咖啡店或家庭网络。”没关系这些学生的PC受到威胁,因为精心制作的恶意软件可以处于休眠状态并扫描受感染PC连接到的每个网络,直到它找到其他易受攻击的NetopVisionPro实例以进一步传播感染。”直到。“教育中的网络攻击部门猖獗。所有行业的服务提供商都面临这样一个现实,即安全正在成为其业务的主要驱动力之一,因此,需要有一个适当的系统来响应道德安全研究人员并与之沟通,然后进行适当的修复,这个需求变得越来越重要和紧迫。根据FBI和网络安全与基础设施安全局(CISA)于12月发布的声明,教育行业正在成为攻击的重点目标,尤其是勒索软件的目标。CISA和FBI报告称,在去年8月至9月期间,针对K-12学校的勒索软件攻击占所有报告事件的57%。“到2020年,整个行业将从实体运营转向数字运营,教育也不例外,”VulcanCyber??首席执行官YanivBarDayan告诉Threatpost。教师主导的学习方式和教师和学生的安全方面采取了严格的方法,教师使用的软件比以往任何时候都多,而且软件目前非常容易受到攻击,IT安全团队总是在不断地填补漏洞为了提供安全的在线学习体验。如果没有优先排序、协调、自动化和衡量补救措施的能力,就不可能做到这一点。”就在上个月,FBI向安全社区发出了后续闪电警报,勒索软件PYSA正在袭击教育行业,包括高等教育、K-12教育和神学院。Netop回应就Netop而言,它已修复McAfee报告的所有内容,但网络加密除外。“网络流量仍未加密,包括学生计算机的屏幕截图,但Netop向我们保证,它正在努力对所有网络流量实施加密,以备将来更新,”研究人员说。也就是说,研究人员赞扬了Netop的初始安全报告的快速响应行动:“Netop通过快速开发和发布更安全的软件版本,在应对这一事件方面做得非常出色,并鼓励行业供应商以此为榜样供业界研究人员回应。》本文翻译自:https://threatpost.com/security-bugs-virtual-learning-software/164953/如有转载请注明出处。
