近期有人在微软的 Windows 远程协助 (Quick Assist) 功能中发现了一个严重漏洞, 不过目前微软已经对该漏洞进行了修复, 并已经发布了安全补丁
全民充电节 | 3 月 26 日~ 30 日 2000 位 IT 行业实战专家邀请你一起充电学习!
一个基本的网络安全建议和常识就是你不要与不信任的人分享你的计算机远程访问权限但是, 不仅限于此, 攻击者的套路往往是很深的, 如果你认为我们只要不与不信任的人分享计算机的远程访问权限就万事大吉了, 那你就大错特错了, 事情绝对没有你想得那么简单因为目前就出现了一种新的攻击方式, 就是黑客可利用 Windows 远程协助漏洞窃取你的敏感文件其攻击原理就是有人主动邀请或提供给你他们自己计算机的远程访问权限, 让你来查看他们设备上的内容, 由于人都窥探他人隐私的爱好, 所以很多人不免就上了套
Windows 远程协助中的漏洞
最近有人在微软的 Windows 远程协助 (Quick Assist) 功能中发现了一个严重漏洞, 该漏洞会影响到迄今为止所有版本的 Windows 系统, 包括 Windows 10, Windows 8.1,Windows RT 8.1 和 Windows 7, 并且允许远程攻击者窃取目标计算机上的敏感文件
Windows 远程协助是一种内置工具, 可让你信任的人接管你的计算机或者你也可以远程控制其他人的计算机, 这样他们就可以利用远程控制来帮助你解决问题, 该功能必须依赖于远程桌面协议 (RDP) 才能与需要的人建立安全连接但是, 趋势科技零日行动组的 Nabeel Ahmed 发现并向微软报告了 Windows 远程协助中的一个信息泄露漏洞(CVE-2018-0878), 该漏洞可能允许攻击者获取信息以进一步危害受害者的系统
目前微软已经对该漏洞进行了修复, 且会在本月的补丁中发布当 Windows 远程协助不正确地处理 XML 外部实体 (XXE) 时, 就会存在信息泄漏漏洞
此漏洞影响 Microsoft Windows Server 2016,Windows Server 2012 和 R2,Windows Server 2008 SP2 和 R2 SP1,Windows 10(32 位和 64 位),Windows 8.1(32 位和 64 位)和 RT 8.1, 以及 Windows 7(32 位和 64 位)
利用 Windows 远程协助来窃取文件
由于此漏洞的安全补丁现已发布, 所以趋势科技的研究人员终于可以向公众发布漏洞的技术细节和 PoC 攻击代码了
为了利用驻留在 MSXML3 分析器中的这个漏洞, 黑客需要使用带外数据检索 (Out-of-Band Data Retrieval) 攻击技术, 通过 Windows 远程协助让受害者得到攻击者自己的计算机访问权限
在设置 Windows 远程协助时, 该功能为受害者提供了两种选择: 要么邀请某人来帮助你, 要么回复需要帮助的人
选择第一个选项可以帮助用户生成一个邀请文件, 即'invitation.msrcincident,' , 该文件包含 XML 数据, 其中包含许多验证所需的参数和值
由于解析器没有正确验证内容, 攻击者可以简单地向受害者发送一个包含带有恶意载荷的特制远程协助邀请文件, 欺骗目标计算机并将特定文件的内容从已知位置提交到由攻击者控制的远程服务器
微软解释说:
被窃取的信息可以作为 HTTP 请求中 URL 的一部分提交给攻击者, 在这种情况下, 攻击者是无法强制用户查看攻击者控制的内容, 相反, 攻击者必须说服用户后才能采取行动这种 XXE 漏洞可以在大规模网络钓鱼攻击中得到真实的应用, 这些攻击针对的是那些相信自己确实在帮助另一个人解决 IT 问题的人其实受害者完全不了解. msrcincident 邀请文件可能会导致敏感信息的丢失
因此, 微软强烈建议用户尽快安装适用于 Windows 远程协助的最新更新
如何获取并安装更新
方法 1:Windows 更新
可以通过 Windows 更新获取此更新, 当你开启自动更新后, 系统会自动下载并安装此更新
方法 2:Microsoft 更新目录
若要获取此更新的独立程序包, 请转到 Microsoft 更新目录网站
来源: http://netsecurity.51cto.com/art/201803/568766.htm