Lỗ hổng trong Windows Assistance cho phép Hacker ăn cắp dữ liệu từ xa

Bạn luôn được cảnh báo rằng “không nên chia sẻ quyền truy cập máy tính từ xa với những người không đáng tin cậy vì bất kỳ một lý do nào đó bởi lẽ đây là một lời khuyên về bảo mật của Microsoft. Tuy nhiên lợi dụng điểm yếu này, một lỗ hổng quan trọng đã được phát hiện trong tính năng hỗ trợ nhanh của Microsoft (Quick Assist) trong Windows cho phép tin tặc có thể ăn cắp các tệp tin nhạy cảm trên máy tính nạn nhân từ xa. Trong đó tất cả các phiên bản Windows hiện nay đều bị ảnh hưởng.

Windows Remote Assistance là một công cụ cho phép một người tin cậy có thể điều khiển máy tính người khác từ xa để giúp họ khắc phục sự cố từ bất kỳ nơi nào trên thế giới.

Tuy nhiên, lỗ hổng CVE-2018-0878  trong Windows Remote Assistance có thể cho phép kẻ tấn công có được thông tin để xâm nhập vào hệ thống của nạn nhân. Lỗ hổng này ảnh hưởng đến Microsoft Windows Server 2016, Windows Server 2012 và R2, Windows Server 2008 SP2 và R2 SP1, Windows 10 (32 và 64 bit), Windows 8.1 (32 và 64 bit) và RT 8.1 và Windows 7 (32 và 64 bit).

Khai thác Windows Remote Assistance để lấy cắp các tệp tin

Lỗ hổng trên nằm trong bộ phân tích cú pháp MSXML3. Để khai thác lỗi này hacker cần phải sử dụng kỹ thuật tấn công dữ liệu “Out-of-Band Data Retrieval” (tạm dịch là lấy dữ liệu ngoài băng tần) bằng cách cung cấp cho nạn nhân quyền truy cập vào máy tính của mình qua Windows Remote Assistance.

Trong khi thiết lập Windows Remote Assistance, tính năng này cho phép người dùng có thể lựa chọn:

+ Mời một người để giúp đỡ

+ Phản hồi lại những người cần giúp đỡ khi gặp sự cố

Nếu chọn theo ý đầu tiên sẽ giúp người dùng tạo một tệp lời mời có dạng ‘invite.msrcincident’ chứa dữ liệu XML với nhiều tham số và giá trị cần thiết để xác thực.

Tuy nhiên quy trình phân tích cú pháp trên sẽ không đúng nội dung, kẻ tấn công chỉ cần gửi một tệp tin chứa mã độc đính kèm lời mời trợ giúp Remote Assistance là chúng có thể khai thác các tệp tin trong máy tính nạn nhân, gửi đến vị trí máy chủ và điều khiển toàn bộ hệ thống từ xa.

Đại diện Microsoft cho hay: “Thông tin bị đánh cắp có thể được gửi đi như là một phần của URL trong các yêu cầu HTTP cho kẻ tấn công.Trong mọi trường hợp, kẻ tấn công không thể buộc người dùng xem nội dung do chúng kiểm soát, để thuyết phục người dùng thực hiện hành động”.

Rất có thể lỗ hổng CVE-2018-0878  này sẽ được tin tặc lợi dụng để thực hiện một cuộc tấn công lừa đảo với quy mô lớn nhắm vào máy tính cá nhân. Do đó, ngay lúc này người dùng nên cài đặt bản cập nhật mới nhất cho Windows Remote Assistance càng sớm càng tốt.

=> Để cập nhật bản vá lỗi mới nhất, bạn đọc có thể truy cập tại đường dẫn này.

Nguồn: Thehackernews