黑客利用Windows远程协助窃取敏感文件
责编:mhshi |2018-03-21 17:30:31Microsoft的Windows远程协助(Quick Assist)功能中发现了一个严重漏洞,该漏洞影响到迄今为止所有版本的Windows,包括Windows 10,8.1,RT 8.1和7,并且允许远程攻击者窃取目标计算机上的敏感文件。
在修补本月修复的其他关键漏洞时,强烈建议Windows用户尽快安装适用于Windows远程协助的最新更新。
Windows远程协助是一种内置工具,可让您信任的人接管您的PC(或者您可以远程控制其他人),以便他们可以帮助您解决世界各地的问题。该功能依赖于远程桌面协议(RDP)与需要的人建立安全连接。
然而,Trend Micro Zero Day Initiative的Nabeel Ahmed发现并报告了Windows远程协助中的一个信息泄漏漏洞(CVE-2018-0878),可能使攻击者获得信息以进一步危害受害者的系统。
该公司在本月的补丁星期二修复了此漏洞,它的存在方式与Windows远程协助处理XML外部实体(XXE)的方式相同。
此漏洞影响Microsoft Windows Server 2016,Windows Server 2012和R2,Windows Server 2008 SP2和R2 SP1,Windows 10(32位和64位),Windows 8.1(32位和64位)和RT 8.1,以及 Windows 7(32位和64位)。
利用Windows远程协助来窃取文件
由于此漏洞的安全补丁现已发布,研究人员终于向公众发布了漏洞的技术细节和验证漏洞利用代码。
为了利用驻留在MSXML3分析器中的这个漏洞,黑客需要使用“带外数据检索”攻击技术,通过Windows远程协助为受害者提供对他/她的计算机的访问权限。
在设置Windows远程协助时,该功能为您提供了两种选择 – 邀请某人来帮助您并回复需要帮助的人。
选择第一个选项可以帮助用户生成一个邀请文件,即’invitation.msrcincident’,其中包含具有许多验证所需的参数和值的XML数据。
由于解析器没有正确验证内容,攻击者可以简单地向受害者发送包含恶意负载的特制远程协助邀请文件,欺骗目标计算机将特定文件的内容从已知位置提交到远程服务器控制的远程服务器 攻击者。
在修补本月修复的其他关键漏洞时,强烈建议Windows用户尽快安装适用于Windows远程协助的最新更新。
原文:https://thehackernews.com/2018/03/window-remote-assistance.html