Windows远程协助漏洞让黑客窃取敏感文件

您一直被警告不要以任何理由与不受信任的人共享对计算机的远程访问，这是一个基本的网络安全建议和常识，对吧？

但如果，我说你甚至不应该相信任何邀请或提供你完全远程访问他们计算机的人呢。

在微软的Windows远程助理e（Quick Assist）功能，该功能影响迄今为止的所有Windows版本，包括Windows 10、8.1、RT 8.1和7，并允许远程攻击者窃取目标计算机上的敏感文件。

Windows Remote Assistance是一个内置工具，它允许您信任的人接管您的电脑（或您远程控制他人），这样他们就可以在世界各地帮助您解决问题。
该功能依赖远程桌面协议（RDP）与需要帮助的人建立安全连接。

然而，Trend Micro Zero Day Initiative的纳比尔·艾哈迈德（Nabeel Ahmed）发现并报告了Windows远程协助中的一个信息泄露漏洞（CVE-2018-0878），该漏洞可让攻击者获取信息，进一步危害受害者的系统。

该漏洞已由该公司在本月的周二补丁中修复，它存在于Windows远程协助处理XML外部实体（XXE）的方式中。

该漏洞影响Microsoft Windows Server 2016、Windows Server 2012和R2、Windows Server 2008 SP2和R2 SP1、Windows 10（32位和64位）、Windows 8.1（32位和64位）和RT 8.1，以及Windows 7（32位和64位）。

利用Windows远程协助窃取文件

由于该漏洞的安全补丁现已可用，研究人员终于向公众发布了该漏洞的技术细节和概念验证利用代码。

为了利用MSXML3解析器中的该漏洞，黑客需要使用“带外数据检索”攻击技术，通过Windows远程协助让受害者访问他/她的计算机。

在设置Windows远程协助时，该功能提供两个选项，邀请某人帮助你，并回应需要帮助的人。

选择第一个选项可以帮助用户生成邀请文件，即“邀请”。msrcincident'包含XML数据，其中包含身份验证所需的大量参数和值。
由于解析器无法正确验证内容，攻击者只需向受害者发送一个精心编制的包含恶意负载的远程协助邀请文件，诱使目标计算机将特定文件的内容从已知位置提交到攻击者控制的远程服务器。

“被盗信息可以作为HTTP请求中URL的一部分提交给攻击者。在所有情况下，攻击者都无法强迫用户查看攻击者控制的内容。相反，攻击者必须说服用户采取行动，”微软解释道。

艾哈迈德警告说：“这个XXE漏洞可以真正用于大规模的网络钓鱼攻击，目标是那些认为自己真的在帮助另一个人解决IT问题的个人。完全不知道.msrcincident邀请文件可能会导致敏感信息的丢失”。

在修补本月修复的其他关键漏洞中，强烈建议Windows用户尽快安装Windows远程协助的最新更新。