A ferramenta de assistência remota do Windows (Remote Assistance) depende do protoloco Remote Desktop Protocol (RDP) para estabelecer uma ligação segura com o computador que “pretende receber a assistência”.
Investigadores da Trend Micro Zero Day Initiative, identificaram uma vulnerabilidade, CVE-2018-0878, que permite “obter” ficheiros sensíveis através de uma assistência remota no Windows. Um atacante pode, no entanto, acionar a falha para obter ainda mais informações e com isso comprometer o sistema da vítima.
A Microsoft remendou a vulnerabilidade neste mês, no conhecido. patch Tuesday. Esta vulnerabilidade acontence no processamento do XML External Entities (XXE).
A vulnerabilidade CVE-2018-0878 afeta “Microsoft Windows Server 2016, Windows Server 2012 and R2, Windows Server 2008 SP2 and R2 SP1, Windows 10 (both 32- and 64-bit), Windows 8.1 (both 32- and 64-bit) and RT 8.1, and Windows 7 (both 32- and 64-bit).“
A equipa de investigadores libertaram ainda alguma documentação online e a respetiva proof-of-concept da vulnerabilidade.
The attacker can use the “Out-of-Band Data Retrieval” attack technique to exploit this vulnerability that resides in MSXML3 parser. The attacker offers the victim access to his computer via Windows Remote Assistance.
Para configurar uma conexão de Assistência Remota do Windows, o atacante pode:
- Convidar alguém para ajuda-lo.
- Responder a alguém que precisa de ajuda.
Quando o atacante convida alguém para o ajudar, um ficheiro de convite é criado (por exemplo, “invitation.msrcincident“), que contém os dados XML usados na autenticação.
Na tabela a seguir são relatados os parâmetros incluídos na solicitação.
Os investigadores usaram o MSXML3 para analisar os dados XML e descobiraram que ele não valida corretamente o conteúdo. Isso significa que um atacante pode enviar um ficheiro de convite para Assistência Remota especialmente criado, contendo um código mal-intencionado, e que “ordena” o computador de destino a enviar o conteúdo de ficheiros específicos para um servidor remoto controlado pelos atacantes.
“To exploit this condition, an attacker would need to send a specially crafted Remote Assistance invitation file to a user. An attacker could then steal text files from known locations on the victim’s machine, under the context of the user, or alternatively, steal text information from URLs accessible to the victim.” reads the security advisory published by Microsoft.
“The stolen information could be submitted as part of the URL in HTTP request(s) to the attacker. In all cases an attacker would have no way to force a user to view the attacker-controlled content. Instead, an attacker would have to convince a user to take action.”
“This XXE vulnerability can be genuinely used in mass scale phishing attacks targeting individuals believing they are truly helping another individual with an IT problem.” Ahmed concluded.
“Totally unaware that the .msrcincident invitation file could potentially result in loss of sensitive information. An attacker could target specific log/config files containing username/passwords. ,” Ahmed warns.