您現在的位置:首頁 - 網絡安全網絡安全
小心!黑客可利用Windows遠程協助漏洞竊取你的敏感文件
發布時間:2018-09-20  作者:信息中心  

????一個基本的網絡安全建議和常識就是你不要與不信任的人分享你的計算機遠程訪問權限。但是,不僅限于此,攻擊者的套路往往是很深的,如果你認為我們只要不與不信任的人分享計算機的遠程訪問權限就萬事大吉了,那你就大錯特錯了,事情絕對沒有你想得那么簡單。因為目前就出現了一種新的攻擊方式,就是黑客可利用Windows遠程協助漏洞竊取你的敏感文件。其攻擊原理就是有人主動邀請或提供給你他們自己計算機的遠程訪問權限,讓你來查看他們設備上的內容,由于人都窺探他人隱私的愛好,所以很多人不免就上了套。

Windows遠程協助中的漏洞

????最近有人在微軟的Windows遠程協助(Quick Assist)功能中發現了一個嚴重漏洞,該漏洞會影響到迄今為止所有版本的Windows系統,包括Windows 10, Windows 8.1,Windows RT 8.1和Windows 7,并且允許遠程攻擊者竊取目標計算機上的敏感文件。

????Windows遠程協助是一種內置工具,可讓你信任的人接管你的計算機或者你也可以遠程控制其他人的計算機,這樣他們就可以利用遠程控制來幫助你解決問題,該功能必須依賴于遠程桌面協議(RDP)才能與需要的人建立安全連接。但是,趨勢科技零日行動組的Nabeel Ahmed發現并向微軟報告了Windows遠程協助中的一個信息泄露漏洞(CVE-2018-0878),該漏洞可能允許攻擊者獲取信息以進一步危害受害者的系統。

????目前微軟已經對該漏洞進行了修復,且會在本月的補丁中發布。當Windows 遠程協助不正確地處理XML外部實體 (XXE) 時,就會存在信息泄漏漏洞。

????此漏洞影響Microsoft Windows Server 2016,Windows Server 2012和R2,Windows Server 2008 SP2和R2 SP1,Windows 10(32位和64位),Windows 8.1(32位和64位)和RT 8.1,以及Windows 7(32位和64位)。

利用Windows遠程協助來竊取文件

????由于此漏洞的安全補丁現已發布,所以趨勢科技的研究人員終于可以向公眾發布漏洞的技術細節和PoC攻擊代碼了。

????為了利用駐留在MSXML3分析器中的這個漏洞,黑客需要使用“帶外數據檢索(Out-of-Band Data Retrieval)”攻擊技術,通過Windows遠程協助讓受害者得到攻擊者自己的計算機訪問權限。

????在設置Windows遠程協助時,該功能為受害者提供了兩種選擇:要么邀請某人來幫助你,要么回復需要幫助的人。

????選擇第一個選項可以幫助用戶生成一個邀請文件,即'invitation.msrcincident,' ,該文件包含XML數據,其中包含許多驗證所需的參數和值。

由于解析器沒有正確驗證內容,攻擊者可以簡單地向受害者發送一個包含帶有惡意載荷的特制遠程協助邀請文件,欺騙目標計算機并將特定文件的內容從已知位置提交到由攻擊者控制的遠程服務器。

  • 微軟解釋說:

????被竊取的信息可以作為HTTP請求中URL的一部分提交給攻擊者,在這種情況下,攻擊者是無法強制用戶查看攻擊者控制的內容,相反,攻擊者必須說服用戶后才能采取行動。這種XXE漏洞可以在大規模網絡釣魚攻擊中得到真實的應用,這些攻擊針對的是那些相信自己確實在幫助另一個人解決IT問題的人。其實受害者完全不了解.msrcincident邀請文件可能會導致敏感信息的丟失。

????因此,微軟強烈建議用戶盡快安裝適用于Windows遠程協助的最新更新。

如何獲取并安裝更新

方法1:Windows更新

????可以通過Windows更新獲取此更新,當你開啟自動更新后,系統會自動下載并安裝此更新。

方法2:Microsoft更新目錄

????若要獲取此更新的獨立程序包,請轉到Microsoft更新目錄網站。

上一條:字體、壁紙淪為“圈錢“工具 勒索軟件無孔不入
下一條:快2018年了,別再搞點什么漏洞出來了

關閉

河南應用技術職業學院版權所有 技術支持:佳豪科技

幸运28登录官方网站