小心!黑客可利用Windows远程协助漏洞窃取你的敏感文件

一个基本的网络安全建议和常识就是你不要与不信任的人分享你的计算机远程访问权限。但是,不仅限于此,攻击者的套路往往是很深的,如果你认为我们只要不与不信任的人分享计算机的远程访问权限就万事大吉了,那你就大错特错了,事情绝对没有你想得那么简单。因为目前就出现了一种新的攻击方式,就是黑客可利用Windows远程协助漏洞窃取你的敏感文件。其攻击原理就是有人主动邀请或提供给你他们自己计算机的远程访问权限,让你来查看他们设备上的内容,由于人都窥探他人隐私的爱好,所以很多人不免就上了套。

Windows远程协助中的漏洞

最近有人在微软的Windows远程协助(Quick Assist)功能中发现了一个严重漏洞,该漏洞会影响到迄今为止所有版本的Windows系统,包括Windows 10, Windows 8.1,Windows RT 8.1和Windows 7,并且允许远程攻击者窃取目标计算机上的敏感文件。

Windows远程协助是一种内置工具,可让你信任的人接管你的计算机或者你也可以远程控制其他人的计算机,这样他们就可以利用远程控制来帮助你解决问题,该功能必须依赖于远程桌面协议(RDP)才能与需要的人建立安全连接。但是,趋势科技零日行动组的Nabeel Ahmed发现并向微软报告了Windows远程协助中的一个信息泄露漏洞(CVE-2018-0878),该漏洞可能允许攻击者获取信息以进一步危害受害者的系统。

目前微软已经对该漏洞进行了修复,且会在本月的补丁中发布。当Windows 远程协助不正确地处理XML外部实体 (XXE) 时,就会存在信息泄漏漏洞。

此漏洞影响Microsoft Windows Server 2016,Windows Server 2012和R2,Windows Server 2008 SP2和R2 SP1,Windows 10(32位和64位),Windows 8.1(32位和64位)和RT 8.1,以及Windows 7(32位和64位)。

利用Windows远程协助来窃取文件

由于此漏洞的安全补丁现已发布,所以趋势科技的研究人员终于可以向公众发布漏洞的技术细节和PoC攻击代码了。

为了利用驻留在MSXML3分析器中的这个漏洞,黑客需要使用“带外数据检索(Out-of-Band Data Retrieval)”攻击技术,通过Windows远程协助让受害者得到攻击者自己的计算机访问权限。

在设置Windows远程协助时,该功能为受害者提供了两种选择:要么邀请某人来帮助你,要么回复需要帮助的人。

选择第一个选项可以帮助用户生成一个邀请文件,即'invitation.msrcincident,' ,该文件包含XML数据,其中包含许多验证所需的参数和值。

由于解析器没有正确验证内容,攻击者可以简单地向受害者发送一个包含带有恶意载荷的特制远程协助邀请文件,欺骗目标计算机并将特定文件的内容从已知位置提交到由攻击者控制的远程服务器。

微软解释说:被窃取的信息可以作为HTTP请求中URL的一部分提交给攻击者,在这种情况下,攻击者是无法强制用户查看攻击者控制的内容,相反,攻击者必须说服用户后才能采取行动。这种XXE漏洞可以在大规模网络钓鱼攻击中得到真实的应用,这些攻击针对的是那些相信自己确实在帮助另一个人解决IT问题的人。其实受害者完全不了解.msrcincident邀请文件可能会导致敏感信息的丢失。

因此,微软强烈建议用户尽快安装适用于Windows远程协助的最新更新。

如何获取并安装更新

方法1:Windows更新

可以通过Windows更新获取此更新,当你开启自动更新后,系统会自动下载并安装此更新。

方法2:Microsoft更新目录

若要获取此更新的独立程序包,请转到Microsoft更新目录网站。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏Java学习网

常用开发工具Eclipse的实现机制和原理是什么?

我们学习和开发过程中用到Java的地方,就有Eclipse的影子,Eclipse平台是目前流行的Java开发工具之一,很重要的一个原因是它开源免费;有人会说我用...

3325
来自专栏建站达人秀

如何部署 CDN 网络

内容分发网络(Content Delivery Network),是在现有 Internet 中增加的一层新的网络架构,由遍布全国的高性能加速节点构成。这些高性...

5.2K11
来自专栏FreeBuf

一项有趣的实验:装了杀软的主机真的安全吗?

我们有的理由怀疑自己的主机早被感染了恶意程序。大部分人都是采用重打包后的镜像来安装的盗版系统;用的不知从哪儿下回来的工具激活的系统;平常在网上下载的工具奉行的都...

953
来自专栏FreeBuf

Windows系统的JScript组件被曝存在一个0day RCE

近期,Telspace Systems公司的安全研究专家Dmitri Kaslov在Windows操作系统的JScript组件中发现了一个严重的安全漏洞,而这个...

980
来自专栏杨逸轩 ' sBlog

逸轩二级域名分发系统域名使用方法以及介绍

5466
来自专栏ChaMd5安全团队

一次XSS突破的探险

现在一些网站表面上很多地方都没有漏洞,包括xss也过滤的很干净,那我们还能突破重围,挖掘到漏洞吗? 我们经常遇到这种信息保存的地方,它经常进行xss的过滤,是不...

3757
来自专栏日暮星辰

服务器操作系统 CoreOS

3533
来自专栏Java职业技术分享

zookeeper-架构设计与角色分工-《每日五分钟搞定大数据》

zookeeper作为一个分布式协调系统,很多组件都会依赖它,那么此时它的可用性就非常重要了,那么保证可用性的同时作为分布式系统的它是怎么保证扩展性的?问题很多...

1200
来自专栏安恒信息

干货 | Intel CPU漏洞分析与安恒信息产品影响解读

综述 近日,Intel CPU中曝出Meltdown(熔断)和Spectre(幽灵)两大新型漏洞,包括Intel、AMD、ARM等主流CPU在内,几乎...

29811
来自专栏莫韵的专栏

在腾讯云上使用自建DNS

在腾讯云上使用自建DNS , 这是一个非常非常非常硬的需求。非常多的程序模块要求,通过DNS解析去访问调用,但是,当你把dns改为自己的,接着腾讯云提供的套件服...

2.9K21

扫码关注云+社区