Windows还是要勤升级远程协助工具
大事不好,Window远程协助工具也出事了,这款能让别人帮你远程修复PC问题的工具存在一个关键漏洞。据外媒3月21日报道,该漏洞几乎覆盖了所有现役Windows版本,包括Windows10、8.1、RT8.1和7。一旦被远程攻击者利用,用户PC上的敏感文档就会被窃取。也就是说,原本基于远程桌面协议搭建的安全链接其实没微软宣传的那么安全。趋势科技研究者NabeelAhmed发现了Windows远程协助上这个信息披露漏洞,代号为CVE--。攻击者可触发这个漏洞以获得敏感信息,进而对受害者的系统进行更为深入的渗透。在本月的周二补丁日上,微软对该漏洞进行了修复。其深层问题其实存在于Windows远程协助处理XML外部实体注入(XXE)的方式上。受CVE--漏洞影响的包括WindowsServer、WindowsServer和R2、WindowsServerSP2和R2SP1、Windows10(32和64位),Windows8.1(32和64位)和RT8.1,此外还有更老的Windows7(32和64位)。雷锋网了解到,除此之外,Nabeel还公布了在线技术细节和概念验证版漏洞攻击代码。攻击者可以使用“带外数据检索”技术来利用该漏洞。一旦建立了Windows远程协助连接,攻击者就可以:邀请某人来帮助自己;帮助其他需要帮助的人。当你邀请某人来帮助自己,就会生成一个邀请文件,这其中就包含了用于身份认证的XML数据。下表为请求中的参数设置:起初,专家使用MSXML3来解析XML数据,发现它并没有适当的验证内容。这就意味着攻击者能发送一个专门制作的远程协助邀请文件给受害者,而该文件中包含了恶意代码,可以命令被攻击电脑将未知位置的特殊文档内容提交到远程服务器上,攻击者就是远程服务器的主人。不过,攻击者并非畅通无阻,他无法强迫用户点开带毒的内容,只能靠花言巧语来欺骗对方点击。黑客发动攻击的流程图专家警告称,.msrcincident邀请文件可能会引发大规模的网络钓鱼攻击,一旦中招,敏感信息的泄露就会不可避免的发生。“XXE漏洞非常适合钓鱼攻击,那些感觉自己是在帮助别人的人很容易中招。由于受害者根本不知道自己的处境,因此攻击者可以轻松的拿到log/config文件,而这些文件中可存了用户名和密码等关键信息。”Ahmed总结道。同时,针对该漏洞的自动化工具也在不断增多。所以,雷锋网建议,赶紧升级最新版的Windows远程协助吧,别被人卖了还帮忙数钱。雷锋网Via.SecurityAffairs
