Các nhà nghiên cứu an ninh mạng vào Chủ nhật đã tiết lộ một số lỗ hổng nghiêm trọng trong phần mềm giám sát học sinh từ xa Netop Vision Pro rằng kẻ tấn công độc hại có thể lạm dụng để thực thi mã tùy ý và chiếm lấy máy tính Windows.
“Những phát hiện này cho phép nâng cao các đặc quyền và cuối cùng là thực thi mã từ xa có thể được sử dụng bởi kẻ tấn công độc hại trong cùng một mạng để giành toàn quyền kiểm soát máy tính của sinh viên”, nhóm Nghiên cứu Đe dọa Nâng cao của McAfee Labs nói trong một bài phân tích.
Các lỗ hổng bảo mật, được theo dõi là CVE-2021-27192, CVE-2021-27193, CVE-2021-27194 và CVE-2021-27195, đã được báo cáo cho Netop vào ngày 11 tháng 12 năm 2020, sau đó công ty có trụ sở tại Đan Mạch đã khắc phục sự cố trong bản cập nhật (phiên bản 9.7.2) được phát hành vào ngày 25 tháng 2.
“Phiên bản 9.7.2 của Vision và Vision Pro là bản phát hành bảo trì nhằm giải quyết một số lỗ hổng, chẳng hạn như các đặc quyền cục bộ leo thang gửi thông tin nhạy cảm dưới dạng văn bản thuần túy”, công ty đã nêu trong ghi chú phát hành của nó.
Netop chiếm một nửa trong số 100 công ty nằm trong số các khách hàng của Fortune và kết nối hơn 3 triệu giáo viên và sinh viên với phần mềm của mình. Netop Vision Pro cho phép giáo viên thực hiện từ xa các tác vụ trên máy tính của học sinh, chẳng hạn như giám sát và quản lý màn hình của họ trong thời gian thực, hạn chế quyền truy cập vào danh sách các trang Web được phép, khởi chạy ứng dụng và thậm chí chuyển hướng sự chú ý của học sinh khi họ bị phân tâm.
Trong quá trình điều tra của McAfee, một số lỗi thiết kế đã được phát hiện, bao gồm:
CVE-2021-27194 – Tất cả lưu lượng mạng giữa giáo viên và học sinh được gửi không được mã hóa và ở dạng văn bản rõ ràng (ví dụ: thông tin đăng nhập Windows và ảnh chụp màn hình) mà không có khả năng bật tính năng này trong khi thiết lập. Ngoài ra, ảnh chụp màn hình được gửi đến giáo viên ngay sau khi họ kết nối với lớp học để cho phép theo dõi thời gian thực.
- CVE-2021-27195 – Kẻ tấn công có thể theo dõi lưu lượng truy cập không được mã hóa để mạo danh giáo viên và thực thi mã tấn công trên các máy học sinh bằng cách sửa đổi gói chứa ứng dụng chính xác sẽ được thực thi, chẳng hạn như chèn thêm các tập lệnh PowerShell.
- CVE-2021-27192 – Nút “Hỗ trợ kỹ thuật” trong menu “giới thiệu” của Netop có thể được khai thác để đạt được đặc quyền leo thang với tư cách là người dùng “hệ thống” và thực hiện các lệnh tùy ý, khởi động lại Netop và tắt máy tính.
- CVE-2021-27193 – Một lỗ hổng đặc quyền trong plugin trò chuyện của Netop có thể được khai thác để đọc và ghi các tệp tùy ý trong “thư mục làm việc” được sử dụng làm vị trí thả cho tất cả các tệp do người hướng dẫn gửi. Tệ hơn nữa, vị trí thư mục này có thể được thay đổi từ xa để ghi đè lên bất kỳ tệp nào trên PC từ xa, bao gồm cả tệp thực thi hệ thống.
- CVE-2021-27193 cũng được xếp hạng 9,5 trên tổng số tối đa 10 trong hệ thống xếp hạng CVSS, khiến nó trở thành một lỗ hổng nghiêm trọng.
Không cần phải nói, hậu quả của việc khai thác như vậy có thể rất tàn khốc. McAfee cảnh báo rằng chúng bao gồm từ việc sử dụng ransomware đến cài đặt phần mềm keylogging đến chuỗi CVE-2021-27195 và CVE-2021-27193 để theo dõi webcam của các máy tính cá nhân chạy phần mềm này, McAfee cảnh báo.
Mặc dù hầu hết các lỗ hổng đã được khắc phục, nhưng các bản sửa lỗi do Netop đưa ra vẫn không giải quyết được tình trạng thiếu mã hóa mạng, dự kiến sẽ được triển khai trong một bản cập nhật trong tương lai.
Các nhà nghiên cứu Sam Quinn và Douglas McKee cho biết: “Kẻ tấn công không cần phải xâm phạm mạng của trường học; tất cả những gì chúng cần là tìm bất kỳ mạng nào mà phần mềm này có thể truy cập được, chẳng hạn như thư viện, quán cà phê hoặc mạng gia đình,” các nhà nghiên cứu Sam Quinn và Douglas McKee cho biết. “Không quan trọng việc một trong những máy tính của học sinh này bị xâm nhập ở đâu, vì một phần mềm độc hại được thiết kế tốt có thể nằm im và quét từng mạng mà PC bị nhiễm kết nối đến cho đến khi nó tìm thấy các phiên bản dễ bị tấn công khác của Netop Vision Pro để lây nhiễm thêm.”
“Một khi các máy này bị xâm nhập, kẻ tấn công từ xa có toàn quyền kiểm soát hệ thống vì chúng được thừa hưởng các đặc quyền của Hệ thống. Không có gì tại thời điểm này, có thể ngăn kẻ tấn công đang chạy với tư cách ‘hệ thống’ truy cập vào bất kỳ tệp nào, chấm dứt bất kỳ quy trình nào hoặc phá hoại trên máy bị xâm nhập, “họ nói thêm.
Phát hiện được đưa ra vào thời điểm cơ quan điều tra Hoa Kỳ Cục liên bang cảnh báo tuần trước về sự gia tăng các cuộc tấn công ransomware PYSA (hay còn gọi là Mespinoza) nhắm vào các cơ sở giáo dục ở 12 bang của Hoa Kỳ và Vương quốc Anh.
Chúng tôi đã yêu cầu Netop cung cấp thêm chi tiết về các bản cập nhật bảo mật và sẽ cập nhật bài viết này ngay khi chúng tôi nhận được phản hồi.
