大事不好，Window 遠程協(xié)助工具也出事了，這款能讓別人幫你遠程修復 PC 問題的工具存在一個關鍵漏洞。

據外媒3月21日報道，該漏洞幾乎覆蓋了所有現(xiàn)役 Windows 版本，包括 Windows 10、8.1、RT 8.1 和 7。一旦被遠程攻擊者利用，用戶 PC 上的敏感文檔就會被竊取。也就是說，原本基于遠程桌面協(xié)議搭建的安全鏈接其實沒微軟宣傳的那么安全。

趨勢科技研究者 Nabeel Ahmed 發(fā)現(xiàn)了 Windows 遠程協(xié)助上這個信息披露漏洞，代號為 CVE-2018-0878。攻擊者可觸發(fā)這個漏洞以獲得敏感信息，進而對受害者的系統(tǒng)進行更為深入的滲透。

在本月的周二補丁日上，微軟對該漏洞進行了修復。其深層問題其實存在于 Windows 遠程協(xié)助處理 XML 外部實體注入（XXE）的方式上。

受 CVE-2018-0878 漏洞影響的包括 Windows Server 2016、Windows Server 2012 和 R2、Windows Server 2008 SP2 和 R2 SP1、Windows 10 （32 和 64 位）, Windows 8.1（32 和 64 位）和 RT 8.1，此外還有更老的 Windows 7（32 和 64 位）。

雷鋒網了解到，除此之外，Nabeel 還公布了在線技術細節(jié)和概念驗證版漏洞攻擊代碼。

攻擊者可以使用“帶外數(shù)據檢索”技術來利用該漏洞。一旦建立了 Windows 遠程協(xié)助連接，攻擊者就可以：

邀請某人來幫助自己；

幫助其他需要幫助的人。

當你邀請某人來幫助自己，就會生成一個邀請文件，這其中就包含了用于身份認證的 XML 數(shù)據。

下表為請求中的參數(shù)設置：

起初，專家使用 MSXML3 來解析 XML 數(shù)據，發(fā)現(xiàn)它并沒有適當?shù)尿炞C內容。這就意味著攻擊者能發(fā)送一個專門制作的遠程協(xié)助邀請文件給受害者，而該文件中包含了惡意代碼，可以命令被攻擊電腦將未知位置的特殊文檔內容提交到遠程服務器上，攻擊者就是遠程服務器的主人。

不過，攻擊者并非暢通無阻，他無法強迫用戶點開帶毒的內容，只能靠花言巧語來欺騙對方點擊。

黑客發(fā)動攻擊的流程圖

專家警告稱，.msrcincident 邀請文件可能會引發(fā)大規(guī)模的網絡釣魚攻擊，一旦中招，敏感信息的泄露就會不可避免的發(fā)生。

“XXE 漏洞非常適合釣魚攻擊，那些感覺自己是在幫助別人的人很容易中招。由于受害者根本不知道自己的處境，因此攻擊者可以輕松的拿到 log/config 文件，而這些文件中可存了用戶名和密碼等關鍵信息?！盇hmed 總結道。

同時，針對該漏洞的自動化工具也在不斷增多。所以，雷鋒網建議，趕緊升級最新版的 Windows 遠程協(xié)助吧，別被人賣了還幫忙數(shù)錢。

 

雷鋒網Via. Security Affairs

雷峰網原創(chuàng)文章，未經授權禁止轉載。詳情見轉載須知。