流行的Netop远程学习软件易受黑客攻击
网络安全研究人员周日披露了远程学生监控软件中的多个关键漏洞精准视觉专业版恶意攻击者可能会滥用它来执行任意代码并接管Windows计算机。
McAfee Labs Advanced Threat Research团队在一份分析报告中表示:“这些发现允许提升权限,最终实现远程代码执行,同一网络中的恶意攻击者可以利用这些权限完全控制学生的计算机。”。
这些漏洞被追踪为CVE-2021-27192、CVE-2021-27193、CVE-2021-27194和CVE-2021-27195,并于2020年12月11日向Netop报告,之后这家总部位于丹麦的公司在2月25日发布的更新(版本9.7.2)中修复了这些问题。
该公司在发布说明中表示:“Vision和Vision Pro的9.7.2版是一个维护版本,它解决了几个漏洞,例如升级本地权限,以明文形式发送敏感信息。”。
Netop的客户占《财富》100强公司的一半,并通过其软件连接了300多万名教师和学生。Netop Vision Pro允许教师在学生的计算机上远程执行任务,例如实时监控和管理他们的屏幕,限制访问允许的网站列表,启动应用程序,甚至在学生分心时重定向他们的注意力。
在McAfee的调查过程中,发现了几个设计缺陷,包括:
- CVE-2021-27194-教师和学生之间的所有网络通信都是以明文形式(例如Windows凭据和屏幕截图)以未加密的方式发送的,在安装过程中无法启用此功能。此外,一旦连接到教室,屏幕截图就会发送给老师,以便进行实时监控。
- CVE-2021-27195-攻击者可以通过修改包含要执行的确切应用程序的数据包(例如注入额外的PowerShell脚本),监视未加密的通信量,以模拟教师并在学生计算机上执行攻击代码。
- CVE-2021-27192-可以利用Netop“关于”菜单中的“技术支持”按钮,以“系统”用户的身份升级权限,执行任意命令,重新启动Netop,并关闭计算机。
- CVE-2021-27193-Netop聊天插件中的特权漏洞可被利用来读取和写入“工作目录”中的任意文件,该目录用作讲师发送的所有文件的放置位置。更糟糕的是,可以远程更改此目录位置,以覆盖远程PC上的任何文件,包括系统可执行文件。
不用说,这种剥削的后果可能是毁灭性的。McAfee警告称,这些措施包括部署勒索软件、安装键盘记录软件、链接CVE-2021-27195和CVE-2021-27193,以监视运行该软件的个人计算机的网络摄像头。
虽然大多数漏洞都已修复,但Netop实施的修复仍然无法解决网络加密不足的问题,预计将在未来的更新中实施。
研究人员Sam Quinn和Douglas McKee说:“攻击者不必破坏学校网络;他们只需找到任何可以访问该软件的网络,如图书馆、咖啡馆或家庭网络。”。“无论这些学生的电脑在哪里受损,设计良好的恶意软件都可能处于休眠状态,并扫描受感染电脑连接的每个网络,直到找到Netop Vision Pro的其他易受攻击的实例,从而进一步传播感染。”
他们补充说:“一旦这些机器遭到破坏,远程攻击者就可以完全控制系统,因为他们继承了系统权限。此时,任何东西都无法阻止以“系统”身份运行的攻击者访问任何文件、终止任何进程,或在受破坏的机器上造成严重破坏。”。
这一发现是在上周美国联邦调查局警告称,美国12个州和英国针对教育机构的PysSA(aka Mespinoza)勒索攻击增加。
我们已经要求Netop提供有关安全更新的更多详细信息,并将在收到回复后立即更新本文。
