一个基本的网络安全建议和常识就是你不要与不信任的人分享你的计算机远程访问权限。但是,不仅限于此,攻击者的套路往往是很深的,如果你认为我们只要不与不信任的人分享计算机的远程访问权限就万事大吉了,那你就大错特错了,事情绝对没有你想得那么简单。因为目前就出现了一种新的攻击方式,就是黑客可利用Windows远程协助漏洞窃取你的敏感文件。其攻击原理就是有人主动邀请或提供给你他们自己计算机的远程访问权限,让你来查看他们设备上的内容,由于人都窥探他人隐私的爱好,所以很多人不免就上了套。
Windows远程协助中的漏洞
最近有人在微软的Windows远程协助(Quick Assist)功能中发现了一个严重漏洞,该漏洞会影响到迄今为止所有版本的Windows系统,包括Windows 10, Windows 8.1,Windows RT 8.1和Windows 7,并且允许远程攻击者窃取目标计算机上的敏感文件。
Windows远程协助是一种内置工具,可让你信任的人接管你的计算机或者你也可以远程控制其他人的计算机,这样他们就可以利用远程控制来帮助你解决问题,该功能必须依赖于远程桌面协议(RDP)才能与需要的人建立安全连接。但是,趋势科技零日行动组的Nabeel Ahmed发现并向微软报告了Windows远程协助中的一个信息泄露漏洞(CVE-2018-0878),该漏洞可能允许攻击者获取信息以进一步危害受害者的系统。
目前微软已经对该漏洞进行了修复,且会在本月的补丁中发布。当Windows 远程协助不正确地处理XML外部实体 (XXE) 时,就会存在信息泄漏漏洞。
此漏洞影响Microsoft Windows Server 2016,Windows Server 2012和R2,Windows Server 2008 SP2和R2 SP1,Windows 10(32位和64位),Windows 8.1(32位和64位)和RT 8.1,以及Windows 7(32位和64位)。
利用Windows远程协助来窃取文件
由于此漏洞的安全补丁现已发布,所以趋势科技的研究人员终于可以向公众发布漏洞的技术细节和PoC攻击代码了。
为了利用驻留在MSXML3分析器中的这个漏洞,黑客需要使用“带外数据检索(Out-of-Band Data Retrieval)”攻击技术,通过Windows远程协助让受害者得到攻击者自己的计算机访问权限。
在设置Windows远程协助时,该功能为受害者提供了两种选择:要么邀请某人来帮助你,要么回复需要帮助的人。
选择第一个选项可以帮助用户生成一个邀请文件,即'invitation.msrcincident,' ,该文件包含XML数据,其中包含许多验证所需的参数和值。
由于解析器没有正确验证内容,攻击者可以简单地向受害者发送一个包含带有恶意载荷的特制远程协助邀请文件,欺骗目标计算机并将特定文件的内容从已知位置提交到由攻击者控制的远程服务器。
被窃取的信息可以作为HTTP请求中URL的一部分提交给攻击者,在这种情况下,攻击者是无法强制用户查看攻击者控制的内容,相反,攻击者必须说服用户后才能采取行动。这种XXE漏洞可以在大规模网络钓鱼攻击中得到真实的应用,这些攻击针对的是那些相信自己确实在帮助另一个人解决IT问题的人。其实受害者完全不了解.msrcincident邀请文件可能会导致敏感信息的丢失。
因此,微软强烈建议用户尽快安装适用于Windows远程协助的最新更新。
如何获取并安装更新
方法1:Windows更新
可以通过Windows更新获取此更新,当你开启自动更新后,系统会自动下载并安装此更新。
方法2:Microsoft更新目录
若要获取此更新的独立程序包,请转到Microsoft更新目录网站。