Lỗ hổng trên Windows Remote Assitance cho phép hacker đánh cắp các tập tin nhạy cảm

Theo các khuyến cáo từ các chuyên gia bảo mật, người dùng không nên chia sẻ quyền truy cập từ xa vào máy tính của bạn cho những người không đáng tin cậy vì bất kỳ lý do nào. Đây vốn là một lời khuyên bảo mật cơ bản và thường được nhắc đến trong nhiều báo cáo, tin tức về các nguy cơ an ninh mạng ngày nay.

Ngay cả khi có ai đó mời bạn hay cung cấp cho quyền truy cập từ xa vào máy tính của họ cũng có thể mang lại nguy hiểm cho bạn.

Mới đây, một lỗ hổng nghiêm trọng đã được phát hiện trong tính năng Windows Remote Assitance (Quick Assist) được trang bị trên hầu hết các phiên bản Windows hiện nay, bao gồm Windows 10, 8.1, RT 8.1 và 7, cho phép kẻ tấn công từ xa có thể đánh cắp các tập tin nhạy cảm trên thiết bị mục tiêu. Windows Remote Assistance là một công cụ tích hợp sẵn trên Windows cho phép người dùng chia sẻ quyền điều khiển từ xa cho một người bạn để họ có thể giúp bạn khắc phục sự cố từ bất cứ nơi nào trên thế giới.

Tính năng này dựa vào RDP (tức Remote Desktop Protocol) để thiết lập kết nối an toàn với người khác khi cần.

Tuy nhiên, Nabeel Ahmeh của Trend Micro Zero Day Initiate đã phát hiện và báo cáo 1 lỗ hổng tiết lộ thông tin (CVE-2018-0878) trong Windows Remote Assisstance có thể cho phép kẻ tấn công có được thông tin để tiếp tục xâm nhập hệ thống của nạn nhân.

Lỗ hổng đã được công ty sửa chữa trong bản vá tháng này, nằm trong Windows Remote Assistance processes XML External Entities (XXE).

Lỗ hổng ảnh hưởng đến Microsoft Windows Server 2016, Windows Server 2012 và R2, Windows Server 2008 SP2 và R2 SP1, Windows 10 (cả 32 và 64 bit), Windows 8.1 (cả 32 và 64 bit) và RT 8.1 và Windows 7 (cả 32 và 64 bit).

Vì bản vá bảo mật cho lỗ hổng này đã có sẵn nên nhà nghiên cứu bảo mật cuối cùng cũng đã công bố các thông tin chi tiết kỹ thuật và mã khai thác chứng minh cho lỗi này cho công chúng.

Để khai thác lỗ hổng này nằm trong bộ phân tích cú pháp MSXML3, hacker cần phải dùng kỹ thuật tấn công “Out-of-Band Data Retrieval” bằng cách cung cấp cho nạn nhân quyền truy cập vào máy tính của mình qua Windows Remote Assisstance.

Trong khi thiết lập Windows Remote Assisstance, tính năng này cung cấp cho bạn 2 lựa chọn, mời một người đề giúp bạn và phản hồi những người cần trợ giúp.

Chọn tuỳ chọn đầu tiên sẽ giúp người dùng tạo ra tệp tin lời mời tức “invite.msrcincident”, chứa dữ liệu XML với nhiều tham số và giá trị cần thiết để xác thực.

Vì trình phân tích cú pháp không chứng thực đúng nội dung, kẻ tấn công có thể chỉ cần gửi một tập tin lời mời trợ giúp qua Windows Remote Assisstance được tạo ra đặc biết chứa một loại mã độc hại cho nạn nhân, lừa máy tính mục tiêu gửi nội dung các tập tin cụ thể từ các vị trí đã biết đến một máy chủ từ xa được điều khiển bởi kẻ tấn công.

Ahmed cảnh báo rằng “lỗ hổng XXE này có thể thực sự được sử dụng trong các vụ tấn công lừa đảo quy mô lớn nhắm vào các cá nhân tin rằng họ đang thực sự cần sự giúp đỡ một cá nhân khác đang gặp vấn đề về CNTT.

Do đó, người dùng nên cài đặt bản cập nhật mới nhất cho Windows Remote Assisstance càng sớm càng tốt.

Minh Hương