最新公告
  • 欢迎您光临悠哉网,本站秉承服务宗旨 履行“站长”责任,销售只是起点 服务永无止境!立即加入我们
  • 修复虚拟学习软件中的关键安全错误

    Netop是一款受众广泛的软件背后的开发公司,该软件旨在让教师远程访问学生计算机。目前为止,该公司已修复了其平台中的四个安全漏洞

    研究人员说,公司Netop Vision Pro系统中的关键漏洞可以使攻击者劫持学校网络、传播恶意软件、确定学生的IP地址、进行窃听等。

    研究人员说,这些漏洞已于12月11日向Netop披露。到2月下旬,该公司已发布了解决一些问题的更新版本(在Netop Vision Pro版本9.7.2中)。

    “在2月下旬发布的Netop Vision Pro 9.7.2中,Netop已修复了本地权限升级,对以前的明文Windows凭据进行了加密,并缓解了MChat客户端中远程文件系统上的任意读/写,”McAfee Labs Advanced Threat Research团队周日发布的一份报告如此写到,也正是由 McAfee Labs高级威胁研究小组发现了这些漏洞。

    未加密的Netop网络流量

    研究人员说,发现的第一个问题(“ CWE-319:敏感信息的明文传输”)是未加密的网络流量。他们补充说,该服务的一部分包括不断向老师发送学生计算机的屏幕截图,这就打开了潜在的隐私问题。

    报告说:“由于没有加密,所以这些图像是明文发送的。” “本地网络上的任何人都可以窃听这些图像并远程查看学生屏幕的内容。每隔几秒钟发送一次新的屏幕截图,为老师和所有窃听者提供几乎每个学生计算机的实时流。”

    通过将卡片设置为混乱模式,并使用网络监控工具对图像文件(例如Driftnet)进行监控,研究人员能够抓取屏幕截图。他们说,这种攻击给我们的一个警告是,任何想要监视这些对话的威胁行为者都需要访问同一本地网络。

    对Netop网络进行逆向工程

    另一个bug(“ CWE-863:授权错误”)源于攻击者模仿教师工作站的能力。研究人员反向设计了教师用户数据报协议(UDP)消息,它通过ping网络来提示教师在网络上的位置。他们通过使用“模糊器”自动测试仪将随机数据序列输入到系统中,并观察接下来发生的情况。

    报告说:“在对UDP数据包进行了几天的模糊处理之后,我们能够识别出两件事。”“首先,我们发现缺少对字符串长度的检查;其次,模糊器发送的随机值被直接写入Windows注册表。”该报告还发现该应用程序从不允许他们覆盖任何重要数据。

    研究人员还发现,在发送第一个UDP消息之后,此后发送的所有消息都是传输控制协议(TCP),这使教师对班上其他同学保持套接字打开。

    进一步的评估揭示了三个身份验证码,研究人员称之为“token”,它们控制了学生和老师之间的访问。老师和学生每个人都被分配到一个静态的、唯一的代码。他们的分析表明,还需要第三个身份验证“token”,与代码中的“分配给堆的内存范围”数字匹配,从而使攻击者可以预测和利用该数字。

    报告解释说,这样一来,研究人员拥有了创建自己的教师工作站所需要的东西,这意味着“攻击者可以模仿老师并执行任意命令”。研究人员说,拥有教师访问权限的攻击者将能够在学生机器上启动应用程序,甚至更多。

    特权和权限bug

    研究人员还发现特权并未被删除,这意味着特权是在安装软件时确定的,但之后没有通过“ ShellExecute”路径进行检查。

    研究人员说:“我们发现了4个例子中的特权没有减少,但是没有一个可以通过网络访问”, “尽管如此,它们仍然可能有用,所以我们对它们进行了调查。” 该错误被称为“ CWE-269:错误的权限分配”。

    第一种是用户使用预填充的URL打开Internet Explorer时,其余三个与插件有关,这些插件绕过了“另存为”,“屏幕快照查看器”和“关于”页面的“系统信息”窗口中的文件过滤器。

    研究人员解释说:“我们使用了一种旧技术,即使用‘另存为’按钮导航到cmd.exe所在的文件夹并执行它。“生成的CMD进程继承了父进程的系统特权,为用户提供了系统级shell。”

    该团队能够使用此攻击来“屏蔽空白学生”,重新启动Netop应用程序,阻止Internet访问等等。

    劫持聊天功能

    最后根据报告显示,由于CVSS评分9.5(满分10)的bug(“ CWE-276:不正确的默认权限”)的存在,研究人员得以劫持Chat功能,将文本或文件发送到学生计算机。

    报告说:“深入研究聊天应用程序的功能后,我们发现老师还具有读取学生\'工作目录\'中的文件并删除其中文件的力。”“CVE-2021-27195证明了我们的发现,我们可以利用仿真代码作为攻击者,从同一本地网络上的远程攻击媒介写入,读取和删除此‘工作目录’中的文件。”

    研究人员解释说,该应用程序始终在运行,并假设网络上的每台设备都可以当老师,并让其他所有人知道他们在哪里,从而使威胁参与者可以轻松地出于各种目的劫持该系统。

    “攻击者不必破坏学校网络,他们所需要做的就是找到可访问此软件的任何网络,例如图书馆、咖啡店或家庭网络。” “这些学生的个人电脑在哪里受到攻击并不重要,因为精心设计的恶意软件可以休眠并扫描受感染PC所连接的每个网络,直到发现其他易受攻击的Netop Vision Pro实例来进一步传播感染为止。”

    教育领域的网络攻击十分猖獗

    各行各业的服务提供商都面临着这样的现实,即安全性成为公司业务的主要推动力之一,因此,需要有一个系统来响应并与道德安全研究人员进行沟通,然后进行适当的修复,这一点需求正变得越来越重要和紧迫。根据FBI和网络安全与基础设施安全局(CISA)在12月发布的声明,教育行业正成为重点攻击的目标,尤其是勒索软件的目标。CISA和FBI的报告称,在去年8月至9月之间,针对K-12学校的勒索软件攻击事件占所有报告事件的57%。

    瓦肯网络公司(Vulcan Cyber)首席执行官亚尼夫•巴尔•达扬(Yaniv Bar Dayan)告诉Threatpost:“整个行业在2020年将从实体运营转向数字运营,教育也不例外”,“学校在指导老师主导的学习方法以及老师和学生的安全方面采取了严格的方针,随着教师使用比以往更多的软件,并且目前软件非常容易遭受攻击,IT安全团队总是在不断地填补漏洞,以提供安全的在线学习体验。如果没有优先级,协调,自动化和衡量补救的能力,做到这一点将是不可能的。”

    就在上个月,联邦调查局向安全界发出了后续的闪电警报,勒索软件PYSA正在打击教育部门,包括高等教育、K-12教育和神学院。

    Netop回应

    就Netop而言,它已经对McAfee报告的所有内容进行了修复,但网络加密功能除外。

    研究人员说:“网络流量仍未加密,包括学生计算机的屏幕截图,但Netop向我们保证,它正在努力对所有网络流量实施加密,以备将来更新。”

    话虽如此,研究人员称赞Netop对初始安全报告的快速响应行动:“Netop在此次事件的应对中,通过此次快速开发和发布更安全的软件版本作出了出色的响应,并鼓励行业供应商将其作为行业研究人员响应的模范。”

    本文翻译自:https://threatpost.com/security-bugs-virtual-learning-software/164953/如若转载,请注明原文地址。

    【编辑推荐】

    1. 微服务面试必问的Dubbo,这么详细还怕自己找不到工作?
    2. 2021年值得关注的5个IT行业发展趋势
    3. 免费的安全软件落寞!让人唏嘘
    4. 界面UI即将大改!Windows1021H2最新预览版抢先看
    5. 微软为 Windows101909 推送 KB5000850 更新,修复资源管理器搜索等问题
    1. 本站所有资源来源于用户上传和网络,如有侵权请邮件联系站长!
    2. 分享目的仅供大家学习和交流,您必须在下载后24小时内删除!
    3. 不得使用于非法商业用途,不得违反国家法律。否则后果自负!
    4. 本站提供的源码、模板、插件等等其他资源,都不包含技术服务请大家谅解!
    5. 如有链接无法下载、失效或广告,请联系管理员处理!
    6. 本站资源售价只是赞助,收取费用仅维持本站的日常运营所需!
    7. 如遇到加密压缩包,默认解压密码为"www.yoozai.net",如遇到无法解压的请联系管理员!
    悠哉网 » 修复虚拟学习软件中的关键安全错误

    常见问题FAQ

    免费下载或者VIP会员专享资源能否直接商用?
    本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。
    提示下载完但解压或打开不了?
    最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。若排除这种情况,可在对应资源底部留言,或 联络我们.。
    找不到素材资源介绍文章里的示例图片?
    对于PPT,KEY,Mockups,APP,网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。
    悠哉网 WWW.YOOZAI.NET
    悠哉网,用户消费首选的网站,喜欢你就悠哉一下。

    发表评论

    • 1002会员总数(位)
    • 40233资源总数(个)
    • 43本周发布(个)
    • 42 今日发布(个)
    • 377稳定运行(天)

    提供最优质的资源集合

    立即查看 了解详情