Во всех Windows есть уязвимость для кражи файлов

Бельгийский исследователь Набиль Ахмед обнаружил уязвимость в инструменте Windows Remote Assistance, которая позволяет выводить любые файлы с компьютеров жертв и загружать их на удаленные серверы

Windows Remote Assistance представляет собой инструмент для удаленной техподдержки, поставляемый Microsoft со всеми версиями Windows, начиная с XP и заканчивая Windows 8.1, сообщает "CNews".

Когда кто-то запрашивает помощь через Remote Assistance, приложение генерирует файл Invitation.msrcincident, который нужно отправить по электронной почте тому, кто будет оказывать поддержку. "Помощник" должен будет дважды кликнуть по этому файлу, чтобы получить доступ к удаленному компьютеру.

Invitation.msrcincident представляет собой XML-файл, содержащий различные данные о настройках.

В этом файле содержится уязвимости, допускающая внедрение в него широкого известного эксплойта XML External Entity.

Когда потенциальная жертва получает зараженный файл-приглашение, то локальную службу Windows Remote Assistance можно "сподвигнуть" на отправку локальных файлов на удаленный сервер.

Злоумышленники попытаются выкрасть файлы, содержащие важные данные - логи, резервные копии, файлы баз данных, файлы INI и т.д.

Уязвимость в Windows Remote Assistance получила индекс CVE-2018-0878. Microsoft выпустила обновления для всех уязвимых версий Windows 7 и выше. В Windows 10 используется другой инструмент - Quick Assist, где в качестве приглашений используются коды, а не XML-файлы, поэтому уязвимость на него не распространяется.

Ахмед сообщил об уязвимости в Microsoft еще в феврале 2017 г.

20 марта 2018 г. в рамках Patch Tuesday Microsoft выпустила патч.

Фото: "CNews"