Lỗi mới phát hiện gần đây trên những hệ điều hành Windows mới nhất được đánh giá là rất nghiêm trọng.
Theo đó, một lỗ hổng nghiêm trọng đã được phát hiện trong tính năng Windows Remote Assistance (Quick Assist) của Microsoft làm ảnh hưởng đến tất cả các phiên bản của Windows, bao gồm Windows 10, 8.1, RT 8.1 và 7, cho phép hacker đánh cắp từ xa các tập tin nhạy cảm trên máy tính của nạn nhân.
Windows Remote Assistance là một công cụ được tích hợp sẵn, cho phép người bạn tin cậy tiếp cận vào máy tính (hoặc bạn để cho người khác điều khiển máy tính từ xa) vì vậy họ có thể giúp bạn khắc phục được sự cố từ bất cứ nơi nào trên thế giới.
Tính năng này dựa vào RDP (Giao thức điều khiển máy tính từ xa) để thiết lập kết nối an toàn với người có nhu cầu.
Tuy nhiên, Nabeel Ahmed của Trend Micro Zero Day Initiative đã phát hiện và báo cáo một lỗ hổng tiết lộ thông tin (CVE-2018-0878) trong Windows Remote Assistance có thể cho phép những kẻ tấn công lấy được thông tin và làm hại đến hệ thống máy tính của nạn nhân.
Lỗ hổng này đã được công ty khắc phục trong bản vá tháng này vào thứ ba, nó nằm trong tính năng Windows Remote Assistance xử lý các thực thể bên ngoài XML (XXE).
Lỗ hổng này ảnh hưởng đến Microsoft Windows Server 2016, Windows Server 2012 và R2, Windows Server 2008 SP2 và R2 SP1, Windows 10 (cả 32 và 64 bit), Windows 8.1 (cả 32 và 64 bit) và RT 8.1 và Windows 7 (cả 32 và 64 bit).
Lợi dụng Windows Remote Assistance để đánh cắp các tập tin
Kể từ khi bản vá bảo mật cho lỗ hổng này đã được tung ra, nhà nghiên cứu đã tiết lộ công khai các chi tiết kỹ thuật và mã tấn công lỗ hổng.
Để lợi dụng lỗ hổng này, nó nằm trong bộ phân tích cú pháp MSXML3, tin tặc cần phải sử dụng kỹ thuật tấn công “Out-of-Band Data Retrieval” (truy tìm dữ liệu ngoài luồng) bằng cách cung cấp cho nạn nhân quyền truy cập vào máy tính của họ qua Windows Remote Assistance.
Trong quá trình thiết lập Windows Remote Assistance, tính năng này cung cấp cho bạn hai lựa chọn: Mời một người để giúp bạn và Phản hồi lại những người cần trợ giúp.
Chọn tùy chọn đầu tiên sẽ giúp người dùng tạo ra tập tin mời là ‘invite.msrcincident’, chứa dữ liệu XML với nhiều tham số và giá trị cần thiết để xác thực.
Since the parser does not properly validate the content, the attacker can simply send a specially crafted Remote Assistance invitation file containing a malicious payload to the victim, tricking the targeted computer to submit the content of specific files from known locations to a remote server controlled by the attackers.
Khi việc phân tích cú pháp không đúng cách xác thực nội dung, kẻ tấn công có thể chỉ cần gửi một tập tin mời trợ giúp từ xa đặc biệt chứa nội dung độc hại cho nạn nhân, đánh lừa máy tính gửi nội dung tập tin đến máy chủ điều khiển từ xa bị hacker kiểm soát.
“Thông tin bị đánh cắp có thể được gửi như là một phần của địa chỉ URL trong các yêu cầu HTTP đến kẻ tấn công. Trong tất cả trường hợp, hacker không thể bắt người dùng xem nội dung độc hại, thay vào đó, hacker thuyết phục người dùng thông qua hành động này”, Microsoft giải thích.
Ahmed cảnh báo rằng lỗ hổng XXE này có thể thực sự được sử dụng trong các vụ tấn công lừa đảo quy mô lớn nhằm vào các cá nhân tin rằng họ đang thực sự giúp đỡ một cá nhân khác có vấn đề với chiếc máy tính.
Theo: thehackernews