黑客利用Windows遠程協助竊取敏感文件
責編:mhshi |2018-03-21 17:30:31Microsoft的Windows遠程協助(Quick Assist)功能中發現了一個嚴重漏洞,該漏洞影響到迄今為止所有版本的Windows,包括Windows 10,8.1,RT 8.1和7,并且允許遠程攻擊者竊取目標計算機上的敏感文件。
在修補本月修復的其他關鍵漏洞時,強烈建議Windows用戶盡快安裝適用于Windows遠程協助的最新更新。
Windows遠程協助是一種內置工具,可讓您信任的人接管您的PC(或者您可以遠程控制其他人),以便他們可以幫助您解決世界各地的問題。該功能依賴于遠程桌面協議(RDP)與需要的人建立安全連接。
然而,Trend Micro Zero Day Initiative的Nabeel Ahmed發現并報告了Windows遠程協助中的一個信息泄漏漏洞(CVE-2018-0878),可能使攻擊者獲得信息以進一步危害受害者的系統。
該公司在本月的補丁星期二修復了此漏洞,它的存在方式與Windows遠程協助處理XML外部實體(XXE)的方式相同。
此漏洞影響Microsoft Windows Server 2016,Windows Server 2012和R2,Windows Server 2008 SP2和R2 SP1,Windows 10(32位和64位),Windows 8.1(32位和64位)和RT 8.1,以及 Windows 7(32位和64位)。
利用Windows遠程協助來竊取文件
由于此漏洞的安全補丁現已發布,研究人員終于向公眾發布了漏洞的技術細節和驗證漏洞利用代碼。
為了利用駐留在MSXML3分析器中的這個漏洞,黑客需要使用“帶外數據檢索”攻擊技術,通過Windows遠程協助為受害者提供對他/她的計算機的訪問權限。
在設置Windows遠程協助時,該功能為您提供了兩種選擇 – 邀請某人來幫助您并回復需要幫助的人。
選擇第一個選項可以幫助用戶生成一個邀請文件,即’invitation.msrcincident’,其中包含具有許多驗證所需的參數和值的XML數據。
由于解析器沒有正確驗證內容,攻擊者可以簡單地向受害者發送包含惡意負載的特制遠程協助邀請文件,欺騙目標計算機將特定文件的內容從已知位置提交到遠程服務器控制的遠程服務器 攻擊者。
在修補本月修復的其他關鍵漏洞時,強烈建議Windows用戶盡快安裝適用于Windows遠程協助的最新更新。
原文:https://thehackernews.com/2018/03/window-remote-assistance.html