Como sabemos... y sabremos, nunca se debe compartir el acceso remoto a un equipo para personas no confiables... es algo básico, pero hay veces que se necesita hacer, para pedir ayuda o soporte sobre algo... solo les digo que tengan cuidado.
Una vulnerabilidad crítica ha sido descubierta en Microsoft Windows Remote Assistance, que afecta a todas las versiones de Windows incluyendo Windows 10, 8.1 7 la cual permite a un atacante remoto robar archivos sensibles en el computador objetivo.
Windows Remote Assistence, Es una herramienta que permite prestar o recibir ayuda de alguien en la cual tu confies y así juntos puedan reparar o solucionar un problema. Esta característica se basa en el protocolo RDP, para poder establecer una conexión segura.
Sin embargo, Nabeel Ahmed de Trend Micro Zero Day, descubrió y comento la vulnerabilidad catalogada CVE-2018-0878, en Windows Remote Assistance.
La vulnerabilidad ya fue parchada por Windows en la ultima entrega de parches de este martes, y residía en la manera en que WRA procesaba los XML de entidades externas.
La vulnerabilidad afecta a Microsoft Windows Server 2016, Windows Server 2012 y R2, Windows Server 2008 SP2 y R2 SP1, Windows 10 (both 32- y 64-bit), Windows 8.1 (both 32- y 64-bit) y RT 8.1, y Windows 7 (both 32- y 64-bit).
La falla se puede explotar, en como MSXML3 Parsea la información, ya que el atacante necesita utilizar información "Fuera de banda" para poder acceder al PC de la víctima.
Mientras se configura Windows Remote Assistance, puedes elegir si tu necesitas ayuda de un tercero en el cual confies, o poder responder en a alguien que necesite ayuda.
Si se seleccionas la primera opciones, se genera un archivo de invitación "invitation.msrcincient" el cual contiene datos XML con datos y valores para validar la autenticación.
El atacante puede corromper el archivo original, cargando un payload malicioso hacia la victima, logrando engañar al computador atacado para que envie el contenido de archivos especificos hacia servidores controlados por los atacantes.
Como siempre se recomienda mantener actualizadas las estaciones de trabajo para que esta vulnerabilidad no este presente.