注意！NSA逆向工程工具存在远程代码执行漏洞

据外媒报道，有研究人员表示，NSA (美国国家安全局) 3月初发布的通用反汇编和反编译程序Ghidra存在远程代码执行漏洞，Ghidra在加载工程时会存在XXE。

GitHub的一份报告显示，任何一个能够欺骗用户打开或恢复设计项目的人，都可以利用这个漏洞来影响项目的打开/恢复。

复现漏洞需要新建一个项目，然后将XXE有效负载放在项目目录中的XML文件中。一旦打开项目，就会执行有效负载。使用sghctoma句柄的研究人员发现，该漏洞也在归档项目(.gar files)中存在。

研究人员表示，基于之前对XXE漏洞利用的研究，发现了攻击者可以利用Windows操作系统中NTLM协议的Java特性和弱点来实现远程代码执行。

要远程利用该漏洞，攻击者需要部署具有NTLM身份验证的HTTP服务器，然后使用XXE/SSRF漏洞强制用户进行NTLM身份验证。NTLM中继攻击可以从本地身份验证转移到网络身份验证。

当受害者使用Ghidra打开这个恶意项目时，攻击者可以从受害者的机器上获得NTLM Hash，从而在受害者的机器上执行任意命令。

要预防这个问题，应该配置Windows防火墙来阻止传入的SMB请求。如果需要SMB服务器，则启用SMBSign，并将JDK升级到最新版本。

XXE漏洞将在Ghidra的下一个版本（即9.0.1）中得到解决。不过，最新版本尚未公布。、

海宇勇创数据防泄密系统一套从源头上保障数据安全和使用安全的软件系统。包含了文件透明加解密、内部文件转、密级管控、离线管理、文件外发管理、灵活的审批流程、工作模式切换、服务器白名单等功能，并全面覆盖Mac、Windows、Linux系统。从根本上严防信息外泄，保障信息安全。