بهره‌برداری از دستیار راه دور ویندوز، سرقت فایل‌های حساس را برای نفوذگران ممکن می‌سازد

کارشناسان امنیتی همیشه هشدار می دهند که به هیچ عنوان، دسترسی از راه دور به رایانه ی خود را با افراد غیرقابل اعتماد به اشتراک نگذارید. همچنین نباید به کسی که دسترسی کامل و از راه دور به رایانه ی خود را به شما پیشنهاد می دهد، اعتماد کنید.

یک آسیب پذیری مهم در قابلیت دستیار از راه دور (کمک سریع) مایکروسافت کشف است که تمامی نسخه های ویندوز تا به امروز، از جمله ویندوز ۱۰، ۸٫۱، ۸٫۱ RT و ۷ را تحت تاثیر قرار داده و به مهاجم اجازه می دهد تا فایل های حساس را از دستگاه های هدف به سرقت ببرد.

دستیار از راه دور ویندوز یک ابزار داخلی است که کنترل رایانه‌ی شما را برای فردی که مورداعتماد شماست، ممکن می‌سازد (کنترل از راه دور رایانه‌ی دیگران توسط شما)، به‌طوری‌که آن‌ها می‌توانند از هر نقطه در سراسر جهان، به حل مشکل شما کمک کنند. این ویژگی برای برقراری یک ارتباط امن با شخص موردنظر، به پروتکل دسکتاپ از راه دور (RDP) متکی است.

با این حال، نابل احمد از گروه امنیتی ترندمیکرو که این آسیب‌پذیری با شناسه‌ی CVE-2018-0878 را در دستیار از راه دور ویندوز کشف و گزارش کرد، اعلام کرد که مهاجمان می‌توانند برای به‌دست آوردن اطلاعات، سیستم قربانی را به خطر بیندازند. این آسیب‌پذیری که در ماه جاری توسط این شرکت وصله شد، در نحوه‌ی مدیریت موجودیت‌های خارجی XML (XXE) توسط دستیار از راه دور ویندوز وجود داشت.

این آسیب‌پذیری مایکروسافت ویندوز سرور ۲۰۱۶، ویندوز سرور ۲۰۱۲ و R2، ویندوز سرور ۲۰۰۸ SP2 و R2 SP1، ویندوز ۱۰ (۳۲ و ۶۴ بیتی)، ویندوز ۸٫۱ (۳۲ و ۶۴ بیتی) و RT 8.1 و ویندوز ۷ (۳۲ و ۶۴ بیتی) را تحت تاثیر قرار می‌داد. از آنجایی که در حال حاضر، یک وصله‌ی امنیتی برای این آسیبپذیری در دسترس است، این محقق جزئیات فنی و اثبات کد مفهومی این بهره‌برداری را به‌طور عمومی منتشر کرده است.

به‌منظور بهره‌برداری از این نقص، که در تجزیه‌کننده‌ی MSXML3 وجود دارد، نفوذگر به استفاده از تکنیک حمله‌ی «بازیابی داده‌ها خارج از باند» با ارائه‌ی دسترسی به قربانی از طریق دستیار از راه دور ویندوز نیاز دارد. هنگام راه‌اندازی دستیار از راه دور ویندوز، این قابلیت به شما دو گزینه می‌دهد؛ دعوت از کسی برای کمک به شما و پاسخ به کسی که به کمک شما نیاز دارد.

انتخاب اولین گزینه به کاربران برای ایجاد یک فایل دعوت‌نامه، یعنی «invitation.msrcincident» کمک می‌کند که این فایل، حاوی داده‌های XML همراه با تعداد زیادی از پارامترها و مقادیر موردنیاز برای احراز هویت می‌باشد. از آنجایی‌که تجزیه‌کننده به ‌درستی محتوا را اعتبارسنجی نمی‌کند، مهاجم به‌سادگی می‌تواند یک فایل دعوت‌نامه‌ی دستیار از راه دور جعلی، حاوی بارداده‌های مخرب برای قربانی ارسال کرده و رایانه‌ی هدف را برای ارائه‌ی محتویات فایلهای خاص از موقعیت‌های شناخته شده به یک سرور از راه دور که توسط مهاجمان کنترل می‌شود، فریب دهد.

مایکروسافت توضیح می‌دهد: «اطلاعات سرقت شده را می‌توان در قالب یک URL در درخواست‌های HTTP برای مهاجم ارسال کرد. در هر صورت، مهاجم هیچ راهی برای مجبور کردن کاربر به‌منظور مشاهده‌ی محتوای کنترل شده توسط وی ندارد. در عوض، مهاجم باید کاربر را برای چنین اقداماتی متقاعد کند.»

این محقق هشدار می‌دهد: « آسیب‌پذیری XXE می‌تواند در حملات فیشینگ مورد استفاده قرار گرفته و افرادی را که معتقدند می‌توانند به دیگران برای حل مشکل فناوری اطلاعات کمک کنند، مورد هدف قرار دهد. به‌طور کلی نمی‌دانیم که فایل دعوت‌نامه‌ی msrcincident. می‌تواند به از دست دادن اطلاعات حساس منجر شود یا خیر.» در میان سایر آسیب‌پذیری‌های مهم که این ماه وصله شده‌اند، به کاربران ویندوز به‌شدت توصیه می‌شود که آخرین به‌روزرسانی مربوط به دستیار از راه دور ویندوز را در اسرع وقت نصب نمایند.

منبع