سرقت فایلهای حساس در ویندوز با اکسپلویت قابلیت کمک از راه دور ویندوز
شما همیشه مراقب هستید که به افراد غیرقابل اعتماد اجازه دسترسی از راه دور به کامپیوتر خود را ندهید، این یک توصیهی سایبری اساسی است، که درست هم هست. اما اگر به شما بگوییم حتی به کسانی که به شما اجازه دسترسی کامل به کامپیوترشان را میدهند اعتماد نکنید، چه میگویید؟؟؟
یک آسیبپذیری حیاتی در قابلیت کمک از راه دور (کمک فوری) ویندوز کشف شده است که تمامی نسخههای ویندوز از جمله ویندوز ۱۰، ۸.۱، RT 8.1 و ۷ را تحت تأثیر قرار داده و به مهاجمان اجازه میدهد دادههای حساس موجود بر روی سیستم هدف را از راه دور سرقت نمایند.
قابلیت کمک از راه دور ویندوز یک ابزار درون ساخت در ویندوز است که این امکان را فراهم مینماید تا زمانی که سیستم با مشکل مواجه میگردد یک شخص قابل اعتماد به کامپیوتر شما نفوذ کرده (یا شما به کامپیوتر دیگران نفوذ کرده) و بتواند برای حل مشکل به شما کمک کند (یا شما برای حل مشکل به دیگران کمک کنید).
این ویژگی متکی به پروتکل ریموت دسکتاپ (RDP) است تا یک ارتباط امن را با شخص مورد نیاز برقرار نماید.
این در حالی است که Nabeel Ahmed از Trend Micro Zero Day از همان ابتدا آسیبپذیری افشای اطلاعات (CVE-2018-0878) را در قابلیت کمک از راه دور ویندوز کشف و گزارش نمود که به مهاجمان اجازه میداد تا بتوانند اطلاعاتی را به منظور تسخیر بیشتر سیستم قربانی بدست آورند.
این آسیبپذیری که در وصله روز سهشنبه ماه جاری توسط شرکت برطرف گردیده است، به گونهای است که قابلیت کمک از راه دور ویندوز، XML External Entities (XXE) را پردازش میکند.
این آسیبپذیری، ویندوز سرور ۲۰۱۶، ویندوز سرور ۲۰۱۲ و R2، ویندوز سرور ۲۰۰۸ SP2 و R2 و SP1، ویندوز ۱۰ (۶۴ بیت و ۳۲ بیت) را تحت تأثیر قرار میدهد.
اکسپلویت نمودن قابلیت کمک از راه دور ویندوز برای سرقت فایلها
به منظور سوءاستفاده از این نقص، که در پارسر MSXML3 قرار دارد، هکر باید برای دسترسی به سیستم قربانی، از طریق قابلیت کمک از راه دور به او پیشنهاد کمک داده و از تکنیک حملهی "Out-of-Band Data Retrieval" استفاده نماید.
هنگام تنظیم قابلیت کمک از راه دور ویندوز، این ویژگی دو گزینه به شما میدهد: اول دعوت از کسی که به شما کمک کند، و دوم پاسخ به کسی که به کمک نیاز دارد. انتخاب گزینه اول به کاربران کمک میکند که یک فایل دعوت مانند 'invitation.msrcincident' ایجاد کنند که حاوی دادههای XML با تعداد زیادی پارامتر و مقادیر مورد نیاز جهت احراز هویت میباشد.
از آنجا که پارسر نامبرده محتوا را به درستی بررسی نمیکند، مهاجم به سادگی میتواند فایل دعوت خود را که حاوی payloadهای مخرب است به جای فایل دعوتِ Remote Assistance ارسال نموده، و کامپیوتر مقصد را فریب دهد که محتوای فایلهای خاصی که از مکانهای شناخته شده به سرورهای تحت کنترل مهاجم (که توسط مهاجم از راه دور کنترل میشوند) ارسال میشوند را تأیید نماید.
مایکروسافت اینگونه توضیح میدهد که: "اطلاعات سرقت شده میتواند به عنوان بخشی از URL در درخواستهای HTTP برای مهاجم ارسال گردد. در هر صورت، مهاجم هیچ راهی برای مجبور کردن کاربر جهت مشاهده محتوای تحت کنترل خود ندارد و در عوض مهاجم باید کاربر را متقاعد کند تا اقدام مورد نیاز را انجام دهد."
Ahmed هشدار میدهد: "آسیبپذیری XXE میتواند در حملات فیشینگ سطح انبوه مورد استفاده قرار گرفته و افرادی که واقعاً میخواهند برای حل مشکلات به دیگران کمک کنند را مورد هدف قرار دهد. اطلاع ندارید که فایل دعوت msrcincident. میتواند به طور بالقوه در از دست دادن اطلاعات حساس مؤثر باشد."
در میان آسیبپذیریهای حساسی که در ماه جاری وصله شدند، به شدت به کاربران ویندوز توصیه میشود که آخرین آپدیت Windows Remote Assistance را در اسرع وقت نصب نمایند.
منبع: https://thehackernews.com/2018/03/window-remote-assistance.html