Удаленный помощник Windows может использоваться для извлечения данных

[душман]

Уязвимость в Удаленном помощнике Windows, который поставляется в составе версий Windows, начиная с XP, позволяет извлечь любой файл с компьютера без ведома пользователя и загрузить его на удаленный сервер. Для эксплуатации уязвимости злоумышленнику потребуется заставить жертву открыть удаленную сессию.

Удаленный помощник Windows – приложение, позволяющее получать или оказывать помощь по удаленному подключению. Инструмент работает по принципу утилиты TeamViewer. Удаленный помощник Windows позволяет предоставить доверенному пользователю доступ к компьютеру, чтобы этот человек мог удаленно решить проблему, возникшую на устройстве.

Приложение генерирует файл под названием Invitation.msrcincident (приглашение), который пользователь отправляет тому, кто согласился оказать помощь. Для удаленного подключения «помощнику» нужно дважды кликнуть по этому файлу. Invitation.msrcincident представляет собой XML файл, содержащий различные конфигурационные данные.

Как обнаружил бельгийский исследователь Набил Ахмед, Microsoft не проводит санитацию файла, что позволило ему внедрить в приглашение известный XEE-эксплоит.

Атакующие могут использовать данную уязвимость для извлечения с компьютера жертвы файлов, содержащих важную информацию, например, журналов, резервных копий данных, базы данных, паролей, конфигурационных файлов и пр.

Уязвимость получила идентификатор CVE-2018-0878. Microsoft уже выпустила обновление, устраняющее проблему, в рамках минувшего вторника исправлений.