Otkrivena ranjivost u Windows Remote Assistance alatu
Ranjivost može da dovede do krađe osetljivih fajlova, instalirajte update što pre.
Windows Remote Assistance (Quick Assist) je alat preko koga korisnik koji ima određeni problem sa računarom može drugom korisniku da omogući pristup sa udaljene lokacije kako bi se problem otklonio. Otkrivena ranjivost se odnosi na sve verzije Windowsa. Napadači mogu da iskoriste ranjivost da sa udaljene lokacije ukradu osetljive fajlove.
Windows Remote Assistance se oslanja na Remote Desktop Protocol (RDP) preko koga uspostavlja bezbednu konekciju sa korisnikom. Ranjivost je označena kao CVE-2018-0878 i pogađa Microsoft Windows Server 2016, Windows Server 2012 i R2, Windows Server 2008 SP2 i R2 SP1, Windows 10 (32-bit i 64-bit), Windows 8.1 (32-bit i 64-bit) i RT 8.1 i Windows 7 (32-bit i 64-bit). Napadač može da iskoristi ranjivost kako bi došao do informacija koje će mu pomoći da dalje komromituje sistem žrtve.
Microsoft je napravio zakrpu tako da se korisnicima preporučuje da ažuriraju OS.
Kako ova ranjivost funkcioniše?
Kada neko zatraži pomoć preko Remote Assistance alata, aplikacija generiše fajl po imanu "Invitation.msrcincident."
Korisnik koji traži pomoć mora da pošalje fajl, najčešće putem imejla, drugoj osobi koja treba da pruži pomoć. Onaj ko pomaže mora dva puta da klikne na fajl da bi se povezao sa računarom osobe koja traži pomoć putem remote desktop sesije.
"Invitation.msrcincident" je XML fajl koji sadrži podatke koji služe za autentifikaciju. Ranjivost je upravo u tome što je moguće ugraditi XML External Entity (XEE) exploit u ovaj invitation fajl.
Kada žrtva otvori mamac u obliku Invitation.msrcincident, njen Remote Assistance alat može da bude prevaren da lokalni fajl uploaduje na udaljeni server. Tako napadači mogu da koriste ranjivost da dođu do fajlova koji sadrže poverljive informacije koji se čuvaju na računaru žrtve.
Ova ranjivost ne može da se eksploatiše masovno jer postoji uslov da žrtva pristane da pruža tehničku podršku, ali je idealan način za ciljane napade na profesionalce koji pružaju tehničku pomoć.
Ako se bavite tehničkom podrškom, preporučujemo da što pre instalirate update za Windows Remote Assistance.
Izvor: Security Affairs