大事不好，Window 遠(yuǎn)程協(xié)助工具也出事了，這款能讓別人幫你遠(yuǎn)程修復(fù) PC 問題的工具存在一個(gè)關(guān)鍵漏洞。

據(jù)外媒3月21日報(bào)道，該漏洞幾乎覆蓋了所有現(xiàn)役 Windows 版本，包括 Windows 10、8.1、RT 8.1 和 7。一旦被遠(yuǎn)程攻擊者利用，用戶 PC 上的敏感文檔就會被竊取。也就是說，原本基于遠(yuǎn)程桌面協(xié)議搭建的安全鏈接其實(shí)沒微軟宣傳的那么安全。

趨勢科技研究者 Nabeel Ahmed 發(fā)現(xiàn)了 Windows 遠(yuǎn)程協(xié)助上這個(gè)信息披露漏洞，代號為 CVE-2018-0878。攻擊者可觸發(fā)這個(gè)漏洞以獲得敏感信息，進(jìn)而對受害者的系統(tǒng)進(jìn)行更為深入的滲透。

在本月的周二補(bǔ)丁日上，微軟對該漏洞進(jìn)行了修復(fù)。其深層問題其實(shí)存在于 Windows 遠(yuǎn)程協(xié)助處理 XML 外部實(shí)體注入（XXE）的方式上。

受 CVE-2018-0878 漏洞影響的包括 Windows Server 2016、Windows Server 2012 和 R2、Windows Server 2008 SP2 和 R2 SP1、Windows 10 （32 和 64 位）, Windows 8.1（32 和 64 位）和 RT 8.1，此外還有更老的 Windows 7（32 和 64 位）。

雷鋒網(wǎng)了解到，除此之外，Nabeel 還公布了在線技術(shù)細(xì)節(jié)和概念驗(yàn)證版漏洞攻擊代碼。

攻擊者可以使用“帶外數(shù)據(jù)檢索”技術(shù)來利用該漏洞。一旦建立了 Windows 遠(yuǎn)程協(xié)助連接，攻擊者就可以：

邀請某人來幫助自己；

幫助其他需要幫助的人。

當(dāng)你邀請某人來幫助自己，就會生成一個(gè)邀請文件，這其中就包含了用于身份認(rèn)證的 XML 數(shù)據(jù)。

下表為請求中的參數(shù)設(shè)置：

起初，專家使用 MSXML3 來解析 XML 數(shù)據(jù)，發(fā)現(xiàn)它并沒有適當(dāng)?shù)尿?yàn)證內(nèi)容。這就意味著攻擊者能發(fā)送一個(gè)專門制作的遠(yuǎn)程協(xié)助邀請文件給受害者，而該文件中包含了惡意代碼，可以命令被攻擊電腦將未知位置的特殊文檔內(nèi)容提交到遠(yuǎn)程服務(wù)器上，攻擊者就是遠(yuǎn)程服務(wù)器的主人。

不過，攻擊者并非暢通無阻，他無法強(qiáng)迫用戶點(diǎn)開帶毒的內(nèi)容，只能靠花言巧語來欺騙對方點(diǎn)擊。

黑客發(fā)動攻擊的流程圖

專家警告稱，.msrcincident 邀請文件可能會引發(fā)大規(guī)模的網(wǎng)絡(luò)釣魚攻擊，一旦中招，敏感信息的泄露就會不可避免的發(fā)生。

“XXE 漏洞非常適合釣魚攻擊，那些感覺自己是在幫助別人的人很容易中招。由于受害者根本不知道自己的處境，因此攻擊者可以輕松的拿到 log/config 文件，而這些文件中可存了用戶名和密碼等關(guān)鍵信息?！盇hmed 總結(jié)道。

同時(shí)，針對該漏洞的自動化工具也在不斷增多。所以，雷鋒網(wǎng)建議，趕緊升級最新版的 Windows 遠(yuǎn)程協(xié)助吧，別被人賣了還幫忙數(shù)錢。

 

雷鋒網(wǎng)Via. Security Affairs

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。