安全研究员Nabeel Ahmed的最新研究成果告诉我们,你甚至不应该相信任何邀请你通过程访问他们计算机的人。因为Ahmed的研究表明,即使是让你来控制他人计算机,而最终的受害者反而是你。
Ahmed在微软的Windows远程协助(Windows Remote Assistance,MSRA)功能中发现了一个严重的安全漏洞,漏洞被标识为CNNVD-201803-519(CVE-2018-0878),是一个XML外部实体注入漏洞(XXL)。
MSRA一种内置工具,依赖于远程桌面协议(RDP),允许你让他人远程接管你的计算机,或远程接管他人计算机。
根据Ahmed的说法,该漏洞影响到迄今为止所有版本的Windows,包括Windows 10/8.1/RT 8.1和7,并允许远程攻击者窃取目标计算机上的敏感文件。
Ahmed解释说,在启用MSRA时,它会给出两个选项:邀请某人来帮助你,或对需要帮助的人作出回应。
如果选择第一个选项,将会有两个后续选项出现,在选择第一个选项后,邀请将保存为一个.msrcincident文件。而这个文件则包含了验证所需的XML数据,包括大量参数和值。MSRA会使用MSXML3解析器来解析XML数据,但由于MSRA不会向用户显示经解析后的XML输出结果,因此用户将很难判定这个输出是否带有恶意行为。这使得攻击者可以发送一个包含恶意代码的远程协助邀请文件给受害者,以窃取目标计算机中的敏感文件。
接下来,攻击者需要使用一种被称为“带外数据检索(Out-of-Band Data Retrieval)”的攻击技术将窃取的敏感文件作为链接的一部分通过HTTP请求提交给攻击者。
Ahmed表示,攻击者很有可能会利用这个XXL漏洞针对包含用户名和密码的特定日志或配置文件。这种攻击可以通过大规模网络钓鱼活动进行,对于完全没有意识到.msrcincident邀请文件可能会导致敏感信息泄露的人来说,他们似乎很容易成为受害者。
具体来讲,这个漏洞会影响到Windows Server 2016、Windows Server 2012 R2、Windows Server 2008 R2 SP2和SP1、Windows 10(32位和64位)、Windows 8.1(32位和64位)和RT 8.1以及Windows 7(32位和64位)。
微软已经在本月的“周二补丁日”对这个漏洞进行了修复,因此我们建议各位Windows用户应尽快安装适用于Windows远程协助的最新更新。