遠程協助功能存安全漏洞 影響所有Windows版本用戶

「用指尖改變世界」

你總是被警告不要讓任何你不信任的人遠程訪問你的計算機，這是一個最基本的網路安全建議和常識，對嗎？其實這個道理我們很容易明白，因為似乎不讓陌生人連接到你的計算機，你便不可能受到來自外部的攻擊。

但是，安全研究員Nabeel Ahmed的最新研究成果告訴我們，你甚至不應該相信任何邀請你通過程訪問他們計算機的人。因為Ahmed的研究表明，即使是讓你來控制他人計算機，而最終的受害者反而是你。

Ahmed在微軟的Windows遠程協助（Windows Remote Assistance，MSRA）功能中發現了一個嚴重的安全漏洞，漏洞被標識為CVE-2018-0878，是一個XML外部實體注入漏洞（XXL）。

MSRA一種內置工具，依賴於遠程桌面協議（RDP），允許你讓他人遠程接管你的計算機，或遠程接管他人計算機。

根據Ahmed的說法，該漏洞影響到迄今為止所有版本的Windows，包括Windows 10/8.1/RT 8.1和7，並允許遠程攻擊者竊取目標計算機上的敏感文件。

Ahmed解釋說，在啟用MSRA時，它會給出兩個選項：邀請某人來幫助你，或對需要幫助的人作出回應。

如果選擇第一個選項，將會有兩個後續選項出現，在選擇第一個選項後，邀請將保存為一個.msrcincident文件。而這個文件則包含了驗證所需的XML數據，包括大量參數和值。

MSRA會使用MSXML3解析器來解析XML數據，但由於MSRA不會向用戶顯示經解析後的XML輸出結果，因此用戶將很難判定這個輸出是否帶有惡意行為。這使得攻擊者可以發送一個包含惡意代碼的遠程協助邀請文件給受害者，以竊取目標計算機中的敏感文件。

接下來，攻擊者需要使用一種被稱為「帶外數據檢索（Out-of-Band Data Retrieval）」的攻擊技術將竊取的敏感文件作為鏈接的一部分通過HTTP請求提交給攻擊者。

Ahmed表示，攻擊者很有可能會利用這個XXL漏洞針對包含用戶名和密碼的特定日誌或配置文件。這種攻擊可以通過大規模網路釣魚活動進行，對於完全沒有意識到.msrcincident邀請文件可能會導致敏感信息泄露的人來說，他們似乎很容易成為受害者。

具體來講，這個漏洞會影響到Windows Server 2016、Windows Server 2012 R2、Windows Server 2008 R2 SP2和SP1、Windows 10（32位和64位）、Windows 8.1（32位和64位）和RT 8.1以及Windows 7（32位和64位）。

微軟已經在本月的「周二補丁日」對這個漏洞進行了修復，因此我們建議各位Windows用戶應儘快安裝適用於Windows遠程協助的最新更新。

本文由 黑客視界 綜合網路整理，圖片源自網路；轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！