La fonctionnalité d’assistance à distance de Windows peut être exploitée pour voler des fichiers personnels
Une nouvelle faille critique a été détectée dans l’outil d’ assistance à distance Windows qui pourrait permettre à un attaquant malveillant de prendre le contrôle de notre ordinateur tout en nous aidant à résoudre un problème.
Nos referimos a una vulnerabilidad crítica en la función de Asistencia Remota de Microsoft Windows que afecta a todas las versiones del sistema, incluyendo Windows 10 , 8.1, y 7. Este es un fallo que podría ser explotado por un atacante remoto para robar archivos personales del équipe. Comme vous le savez, l’outil d’assistance à distance Windows permet à une personne de confiance de prendre en charge notre équipe afin qu’elle puisse nous aider à résoudre un problème.
Il convient de mentionner qu’il s’agit d’une fonction qui repose sur le protocole Remote Desktop ou RDP pour établir une connexion sécurisée avec la personne qui en a besoin. Ainsi, le chercheur Trend Micro , Nabeel Ahmed , a découvert une vulnérabilité de fuite dans les informations d’assistance à distance qui a été marquée comme CVE-2018-0878 . Ainsi, un attaquant peut exploiter cette faille pour obtenir des informations qui compromettraient davantage le système de la victime .
Par conséquent, Microsoft a corrigé la vulnérabilité ce mois-ci avec le correctif Patch Tuesday . Il est à noter qu’il s’agit d’une vulnérabilité qui affecte Windows Server 2016, Windows Server 2012 et R2, Windows Server 2008 SP2 et R2 SP1, Windows 10, Windows 8.1 et Windows 7 . Après avoir résolu le problème, Nabeel a publié plus de détails techniques en ligne et un code d’exploitation de test pour la vulnérabilité susmentionnée.
Ils découvrent une faille de sécurité dans l’assistance à distance Windows
De cette manière, l’attaquant peut employer la technique d’ attaque dite «Out-of-Band Data Retrieval» pour exploiter cette vulnérabilité qui réside dans l’ analyseur MSXML3 , le tout dans le but d’obtenir un accès à distance à notre ordinateur via la fonction précitée . Windows .
Et est-ce que lorsque nous invitons un tiers à nous aider, un fichier d’invitation appelé «invitation.msrcincident» est généré, qui contient des données XML utilisées pour l’authentification, de sorte que le chercheur a découvert que ces données XML ne valident pas correctement le contenu .
Ainsi, l’attaquant peut envoyer son propre fichier d’invitation à l’ assistance à distance contenant du code malveillant et obligeant l’ordinateur cible à envoyer le contenu de fichiers spécifiques à un serveur distant contrôlé par les attaquants .
Par conséquent et pour éviter d’éventuelles perturbations, comme d’habitude dans ces cas, il est recommandé de mettre à jour Windows vers sa dernière version dès que possible.
