Mục lục bài viết || Contents of the article

    Bạn luôn được cảnh báo rằng “không nên chia sẻ quyền truy cập máy tính từ xa với những người không đáng tin cậy vì bất kỳ một lý do nào đó bởi lẽ đây là một lời khuyên về bảo mật của Microsoft. Tuy nhiên lợi dụng điểm yếu này, một lỗ hổng quan trọng đã được phát hiện trong tính năng hỗ trợ nhanh của Microsoft (Quick Assist) trong Windows cho phép tin tặc có thể ăn cắp các tệp tin nhạy cảm trên máy tính nạn nhân từ xa. Trong đó tất cả các phiên bản Windows hiện nay đều bị ảnh hưởng.

    lo-hong-trong-Windows-Remote-Assistance

    Windows Remote Assistance là một công cụ cho phép một người tin cậy có thể điều khiển máy tính người khác từ xa để giúp họ khắc phục sự cố từ bất kỳ nơi nào trên thế giới.

    Tuy nhiên, lỗ hổng CVE-2018-0878  trong Windows Remote Assistance có thể cho phép kẻ tấn công có được thông tin để xâm nhập vào hệ thống của nạn nhân. Lỗ hổng này ảnh hưởng đến Microsoft Windows Server 2016, Windows Server 2012 và R2, Windows Server 2008 SP2 và R2 SP1, Windows 10 (32 và 64 bit), Windows 8.1 (32 và 64 bit) và RT 8.1 và Windows 7 (32 và 64 bit).

    Windows-Remote-Assistance

    Khai thác Windows Remote Assistance để lấy cắp các tệp tin

    Lỗ hổng trên nằm trong bộ phân tích cú pháp MSXML3. Để khai thác lỗi này hacker cần phải sử dụng kỹ thuật tấn công dữ liệu “Out-of-Band Data Retrieval” (tạm dịch là lấy dữ liệu ngoài băng tần) bằng cách cung cấp cho nạn nhân quyền truy cập vào máy tính của mình qua Windows Remote Assistance.

    Trong khi thiết lập Windows Remote Assistance, tính năng này cho phép người dùng có thể lựa chọn:

    + Mời một người để giúp đỡ

    + Phản hồi lại những người cần giúp đỡ khi gặp sự cố

    Nếu chọn theo ý đầu tiên sẽ giúp người dùng tạo một tệp lời mời có dạng ‘invite.msrcincident’ chứa dữ liệu XML với nhiều tham số và giá trị cần thiết để xác thực.

    Tuy nhiên quy trình phân tích cú pháp trên sẽ không đúng nội dung, kẻ tấn công chỉ cần gửi một tệp tin chứa mã độc đính kèm lời mời trợ giúp Remote Assistance là chúng có thể khai thác các tệp tin trong máy tính nạn nhân, gửi đến vị trí máy chủ và điều khiển toàn bộ hệ thống từ xa.

    Đại diện Microsoft cho hay: “Thông tin bị đánh cắp có thể được gửi đi như là một phần của URL trong các yêu cầu HTTP cho kẻ tấn công.Trong mọi trường hợp, kẻ tấn công không thể buộc người dùng xem nội dung do chúng kiểm soát, để thuyết phục người dùng thực hiện hành động”.

    Rất có thể lỗ hổng CVE-2018-0878  này sẽ được tin tặc lợi dụng để thực hiện một cuộc tấn công lừa đảo với quy mô lớn nhắm vào máy tính cá nhân. Do đó, ngay lúc này người dùng nên cài đặt bản cập nhật mới nhất cho Windows Remote Assistance càng sớm càng tốt.

    => Để cập nhật bản vá lỗi mới nhất, bạn đọc có thể truy cập tại đường dẫn này.

    Nguồn: Thehackernews

    Bài viết đề xuất || Recommended
    Không chỉ website của doanh nghiệp nhỏ mà ngay cả website của nhiều tổ chức, doanh nghiệp lớn tại Việt Nam cũng đã từng bị xâm nhập. Thực trạng này dẫn...
    Kiến thức | 24/03/2021
    Một trong những chìa khóa để kinh doanh online thành công là bảo mật website của doanh nghiệp.  1. Lý do doanh nghiệp kinh doanh online cần đẩy mạnh bảo mật...
    Kiến thức | 24/03/2021
    Bảo mật website hiện đang là yêu cầu cấp thiết với mọi doanh nghiệp. Theo đó, các đơn vị an ninh mạng cũng cho ra đời nhiều dịch vụ bảo mật website đa...