Во всех Windows от XP до 8.1 есть «дыра» для кражи файлов

Безопасность Стратегия безопасности Пользователю Техника
мобильная версия
, Текст: Роман Георгиев
Инструмент Windows Remote Assistance может быть использован для целевых атак, утверждает эксперт по кибербезопасности из Бельгии. Microsoft выпустила патч для этой проблемы.

«Дыра» в Windows Remote Assistance

Бельгийский исследователь Набиль Ахмед (Nabeel Ahmed) обнаружил уязвимость в инструменте Windows Remote Assistance, которая позволяет выводить любые файлы с компьютеров жертв и загружать их на удаленные серверы.

Windows Remote Assistance представляет собой инструмент для удаленной техподдержки, поставляемый Microsoft со всеми версиями Windows, начиная с XP и заканчивая Windows 8.1.

Когда кто-то запрашивает помощь через Remote Assistance, приложение генерирует файл Invitation.msrcincident, который нужно отправить по электронной почте тому, кто будет оказывать поддержку. «Помощник» должен будет дважды кликнуть по этому файлу, чтобы получить доступ к удаленному компьютеру.

Укради все, что успеешь

Invitation.msrcincident представляет собой XML-файл, содержащий различные данные о настройках.

Набиль Ахмед выяснил, что в этом файле содержится уязвимости, допускающая внедрение в него широкого известного эксплойта XML External Entity.

Через Windows Remote Assistance можно выводить любые файлы с ПК под управлением Windows от XP до 8.1

Когда потенциальная жертва получает зараженный файл-приглашение, то локальную службу Windows Remote Assistance можно «сподвигнуть» на отправку локальных файлов на удаленный сервер.

Скорее всего, злоумышленники попытаются выкрасть файлы, содержащие важные данные - логи, резервные копии, файлы баз данных, файлы INI и т.д.

- Данная уязвимость может представлять довольно серьезную угрозу, но только при целевых атаках и при наличии у хакеров должных навыков социальной инженерии, - считает Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - Чтобы эксплуатировать ее, потребуется убедить потенциальную жертву оказать удаленную техподдержку, а это едва ли будет просто. Тем не менее, этот сценарий со счетов скидывать не стоит.

Уязвимость в Windows Remote Assistance получила индекс CVE-2018-0878. Microsoft выпустила обновления для всех уязвимых версий Windows 7 и выше. В Windows 10 используется другой инструмент - Quick Assist, где в качестве приглашений используются коды, а не XML-файлы, поэтому уязвимость на него не распространяется.

Набиль Ахмед сообщил об уязвимости в Microsoft еще в феврале 2017 г. 20 марта 2018 г. в рамках Patch Tuesday Microsoft выпустила патч.