Tin tặc khai thác Windows Remote Assistance để đánh cắp dữ liệu nhạy cảm

By | 4:38 pm | 22/03/2018

Windows-Remote-Assistance-hacking

Bạn luôn nhận được cảnh báo về việc không nên chia sẻ quyền truy nhập máy tính từ xa cho người lạ, hoặc những người không đáng tin cậy, đúng chứ?

Thế còn những lời mời truy nhập vào máy tính từ người khác thì sao?

Một lỗ hổng nghiêm trọng trong Windows Remote Assistance (Quick Assist) vừa được phát hiện đang ảnh hưởng đến tất cả các phiên bản Windows, bao gồm Windows 10, 8.1, RT 8.1, và 7, cho phép kẻ tấn công từ xa đánh cắp các dữ liệu nhạy cảm trên máy tính nạn nhân.

Windows Remote Assistance là một công cụ cho phép người khác truy nhập vào máy tính của bạn (hoặc cho phép bạn điều khiển máy tính của người khác) để giải quyết một vấn đề nào đó từ bất kỳ đâu.

Tính năng này sử dụng giao thức Remote Desktop (RDP) để thiết lập một kết nối an toàn giữa hai máy tính.

Tuy nhiên, Nabeel Ahmed thuộc công ty Trend Micro Zero Day Initiative đã phát hiện và báo cáo về một lỗ hổng trong Windows Remote Assistance (CVE-2018-0878), cho phép tin tặc thu thập các dữ liệu nhạy cảm trên máy nạn nhân để làm tiền đề cho các cuộc tấn công sau này.

Lỗ hổng nằm trong cách Windows Remote Assistance xử lý các đối tượng XML bên ngoài (XML External Entities – XXE).

Lỗ hổng ảnh hưởng đến Microsoft Windows Server 2016, Windows Server 2012 và R2, Windows Server 2008 SP2 và R2 SP1, Windows 10 (cả bản 32 và 64-bit), Windows 8.1 (cả bản 32 và 64-bit) và RT 8.1, và Windows 7 (cả bản 32 và 64-bit).

Khai thác Windows Remote Assistance để đánh cắp dữ liệu

Windows-Remote-Assistance

Do bản vá cho lỗ hổng này đã được cập nhật nên các nhà nghiên cứu đã công bố thông tin chi tiết và mã khai thác của lỗ hổng này.

Để khai thác lỗ hổng (nằm trong trình phân tích cú pháp MSXML3 – MSXML3 parser), kẻ tấn công cần phải sử dụng kỹ thuật “Out-of-Band Data Retrieval” (Truy xuất dữ liệu out-of-band) bằng cách mời nạn nhân truy nhập vào máy tính của hắn thông qua Windows Remote Assistance.

Khi thiết lập Windows Remote Assistance, sẽ có hai lựa chọn cho người dùng – Mời ai đó giúp bạn và Phản hồi lại lời mời của ai đó.

Lựa chọn đầu tiên sẽ sinh ra một thư mời, ví dụ ‘invitation.msrcincident’, chứa dữ liệu XML với các tham số dùng để xác thực

Windows Remote Assistance Exploit

Kẻ tấn công có thể dễ dàng gửi một thư mời Remote Assistance giả mạo, bởi trình phân tích cú pháp không xác thực được nội dung bên trong một cách chính xác. Thư mời này chứa một payload độc hại, lừa nạn nhân gửi nội dung của một số file đặc biệt đến máy chủ được điều khiển bởi kẻ tấn công.

“Thông tin bị đánh cắp có thể được gửi kèm như một phần của URL trong HTTP request tới tin tặc. Trong tất cả các trường hợp, kẻ tấn công không thể bắt người dùng làm theo mà phải thuyết phục họ truy nhập vào máy tính của tin tặc,” Microsoft đưa ra lời giải thích.

“Lỗ hổng XXE này có thể bị lợi dụng trong các cuộc tấn công lừa đảo lớn nhắm vào các cá nhân tin rằng họ đang thực sự giúp đỡ người khác. Không thể ngờ rằng thư mời lại có thể dẫn đến nguy cơ bị đánh cắp các thông tin nhạy cảm,” ông Ahmed cảnh báo.

Bên cạnh việc cập nhật bản vá các lỗ hổng nghiêm trọng được đưa ra trong tháng này, người dùng Windows được khuyến nghị cài đặt phiên bản mới nhất của Windows Remote Assistance càng sớm càng tốt.

Theo: thehackernews.com