giovedì 22 marzo 2018

Vulnerabilità critica nel Windows Remote Assistance: può essere sfruttato per rubare dati sensibili


E' stata scoperta una vulnerabilità critica nella funzionalità di Windows,  che riguarda tutte le versioni di Windows fino ad oggi, inclusi Windows 10, 8.1, RT 8.1, e 7: permette agli aggressori di rubare da remoto file sensibili dalla macchina presa di mira. Windows Remote Assistance è un tool built-in che permette a qualcuno di cui ti fidi di controllare il tuo PC (oppure a te di prendere il controllo  da remoto del PC di altri) così che possano aiutarti a risolvere un problema da qualsiasi luogo in tutto il mondo. La funzione si basa sul Protocollo di Desktop Remoto (RDP) per stabilire una connessione sicura con la persona che ne ha bisogno.

La vulnerabilità individuata è la ermettere agli aggressori di ottenere informazioni per compromettere
ulteriormente il sistema della vittima. Nel dettaglio la vulnerabilità risiede nella maniera in cui 

La vulnerabilità riguarda Windows Server 2016 di Microsoft, Windows Server 2012 e R2, Windows Server 2008 SP2 e R2SP1, Windows 10 (sia a 32 che a 64 bit), Windows 8.1 (sia a 32 che a 64 bit) e RT 8.1 e Windows 7 (sia a 32 che a 64 bit).

L'exploit di Windows Remote Assistance


Poiché la patch di sicurezza per questa vulnerabilità è ora disponibile, i ricercatori hanno potuto pubblicare i dettagli tecnici della vulnerabilità e un proof of concept del codice di exploit per la falla.

Per sfruttare questa falla, che risiede nel parser MSXML3, l'attaccante ha bisogno di utilizzare la tecnica di attacco "Out-of-Band Data Retrieval" offrendo alla vittima l'accesso al suo computer tramite l'Assistenza Remota di Windows. Quando qualcuno richiede l'aiuto di un altro utente tramite il tool di assistenza remota, si hanno due opzioni: "Invita qualcuno che può aiutarti" e "Rispondi a qualcuno che ha bisogno di aiuto".


Se si seleziona la prima opzione, l'app genera un file chiamato "Invitation.msrcincident". L'utente che richiede aiuto deve inviare questo file vie email o con altro mezzo alla persona che accetta di aiutarlo. L'aiutante deve quindi fare doppio clic su questo file per connettersi al computer richiedente, attraverso una sessione desktop remota.

Invitation.msrcincident" è un file XML contenente vari dati di configurazione:


Dal momento che il parser non valida adeguatamente il contenuto, l'aggressore può semplicemente inviare un file di invito di Assistenza Remota appositamente creato contenente un payload dannoso per la vittima, ingannando il computer preso di mira per trasmettere il contenuto di file specifici da posizioni conosciute a un server remoto controllato dagli attaccanti.
"Le informazioni rubate potrebbero essere inviate come parte dell'URL nelle richieste HTTP all'aggressore. In ogni caso, l'aggressore non dovrebbe avere modo di obbligare un utente a guardare il contenuto controllato dall'aggressore. Al contrario, un aggressore dovrebbe convincere un utente ad agire", spiega Microsoft.
"Questa vulnerabilità dello XXE può essere realmente utilizzata negli attacchi di phishing su larga scala prendendo di mira persone che credono di star aiutando veramente un altro individuo con un problema IT. Totalmente all'oscuro del fatto che il file di invito .msrcincident potrebbe potenzialmente causare la perdita di informazioni sensibili," concludono da Microsoft.
Tra le patch di altre vulnerabilità critiche risolte questo mese, si consiglia caldamente agli utenti di Windows di installare l'update più recente per il Windows Remote Assistance prima possibile.

Nessun commento:

Posta un commento