سرقت فایل‏‌های حساس در ویندوز با اکسپلویت قابلیت کمک از راه دور ویندوز

شما همیشه مراقب هستید که به افراد غیرقابل اعتماد اجازه دسترسی از راه دور به کامپیوتر خود را ندهید، این یک توصیه‏‌ی سایبری اساسی است، که درست هم هست. اما اگر به شما بگوییم حتی به کسانی که به شما اجازه دسترسی کامل به کامپیوترشان را می‎دهند اعتماد نکنید، چه می‏‌گویید؟؟؟

یک آسیب‌‏پذیری حیاتی در قابلیت کمک از راه دور (کمک فوری) ویندوز کشف شده است که تمامی نسخه‌‏های ویندوز از جمله ویندوز ۱۰، ۸.۱، RT 8.1 و ۷ را تحت تأثیر قرار داده و به مهاجمان اجازه می‌‏دهد داده‌‏های حساس موجود بر روی سیستم هدف را از راه دور سرقت نمایند.
قابلیت کمک از راه دور ویندوز یک ابزار درون ساخت در ویندوز است که این امکان را فراهم می‌‏نماید تا زمانی که سیستم با مشکل مواجه می‌گردد یک شخص قابل اعتماد به کامپیوتر شما نفوذ کرده (یا شما به کامپیوتر دیگران نفوذ کرده) و بتواند برای حل مشکل به شما کمک کند (یا شما برای حل مشکل به دیگران کمک کنید).
این ویژگی متکی به پروتکل ریموت دسکتاپ (RDP) است تا یک ارتباط امن را با شخص مورد نیاز برقرار نماید.
این در حالی است که Nabeel Ahmed از Trend Micro Zero Day از همان ابتدا آسیب‌‏پذیری افشای اطلاعات (CVE-2018-0878) را در قابلیت کمک از راه دور ویندوز کشف و گزارش نمود که به مهاجمان اجازه می‌‏داد تا بتوانند اطلاعاتی را به منظور تسخیر بیشتر سیستم قربانی بدست آورند.
این آسیب‌‏پذیری که در وصله روز سه‌‏شنبه ماه جاری توسط شرکت برطرف گردیده است، به گونه‏‌ای است که قابلیت کمک از راه دور ویندوز، XML External Entities  ‪(XXE)‬ را پردازش می‎کند.
این آسیب‌‏پذیری، ویندوز سرور ۲۰۱۶، ویندوز سرور ۲۰۱۲ و R2، ویندوز سرور ۲۰۰۸ SP2 و R2 و SP1، ویندوز ۱۰ (۶۴ بیت و ۳۲ بیت) را تحت تأثیر قرار می‏‌دهد.

اکسپلویت نمودن قابلیت کمک از راه دور ویندوز برای سرقت فایل‌‏ها

به منظور سوءاستفاده از این نقص، که در پارسر MSXML3 قرار دارد، هکر باید برای دسترسی به سیستم قربانی، از طریق قابلیت کمک از راه دور به او پیشنهاد کمک داده و از تکنیک حمله‌‏ی  "Out-of-Band Data Retrieval" استفاده نماید.
هنگام تنظیم قابلیت کمک از راه دور ویندوز، این ویژگی دو گزینه به شما می‌‏دهد: اول دعوت از کسی که به شما کمک کند، و دوم پاسخ به کسی که به کمک نیاز دارد. انتخاب گزینه اول به کاربران کمک می‌‏کند که یک فایل دعوت مانند 'invitation.msrcincident' ایجاد کنند که حاوی داده‏‌های XML با تعداد زیادی پارامتر و مقادیر مورد نیاز جهت احراز هویت می‌‏باشد.

از آنجا که پارسر نامبرده محتوا را به درستی بررسی نمی‏‌کند، مهاجم به سادگی می‏‌تواند فایل دعوت خود را که حاوی payloadهای مخرب است به جای فایل دعوتِ Remote Assistance ارسال نموده، و کامپیوتر مقصد را فریب دهد که محتوای فایل‌‏های خاصی که از مکان‏‌های شناخته شده به سرورهای تحت کنترل مهاجم (که توسط مهاجم از راه دور کنترل می‌‏شوند) ارسال می‏‌شوند را تأیید نماید.
مایکروسافت اینگونه توضیح می‏‌دهد که: "اطلاعات سرقت شده می‌‏تواند به عنوان بخشی از URL در درخواست‌های HTTP برای مهاجم ارسال گردد. در هر صورت، مهاجم هیچ راهی برای مجبور کردن کاربر جهت مشاهده محتوای تحت کنترل خود ندارد و در عوض مهاجم باید کاربر را متقاعد کند تا اقدام مورد نیاز را انجام دهد."
Ahmed هشدار می‌‏دهد: "آسیب‌‏پذیری XXE می‌‏تواند در حملات فیشینگ سطح انبوه مورد استفاده قرار گرفته و افرادی که واقعاً می‏‌خواهند برای حل مشکلات به دیگران کمک کنند را مورد هدف قرار دهد. اطلاع ندارید که فایل دعوت msrcincident. می‏‌تواند به طور بالقوه در از دست دادن اطلاعات حساس مؤثر باشد."
در میان آسیب‏‌پذیری‎های حساسی که در ماه جاری وصله شدند، به شدت به کاربران ویندوز توصیه می‌‏شود که آخرین آپدیت Windows Remote Assistance را در اسرع وقت نصب نمایند.

منبع:  https://thehackernews.com/2018/03/window-remote-assistance.html