APP下载

微软“远端协助”有漏洞,恐使用户资料不保

消息来源:baojiabao.com 作者: 发布时间:2024-03-28

报价宝综合消息微软“远端协助”有漏洞,恐使用户资料不保
图片来源: 

趋势科技

安全业者发现微软远端协助(remote assistance)存在一项漏洞,可能导致用户电脑敏感资讯被窃取。
 
趋势科技的Zero Day Initiative研究人员 Nabeel Ahmed发现该漏洞后通报微软。编号CVE-2018-0878为一XXE (XML External Entity)漏洞,它发生在Windows远端协助服务。这项服务让用户可以发讯息邀请他人协助,或是接受他人邀请提供协助。攻击则发生在后者。
 
接受他人邀请时,用户会将邀请储存为.msrcincident档,或是收到一则包含.msrcincident附档的电子邮件。这个档的XML资料包括多种参数及值。然而Windows的XML parser并未执行充份的验证,使攻击者可以加入恶意值,锁定包含用户名称及密码的特定log或config档。
 
此一XXE漏洞可被发动大规模网钓攻击。骇客只要传送一则恶意远端协助邀请给用户,后者接受邀请时以为能帮人解决IT问题,却不知电脑中资讯,或是他透过URL可读取的资讯,已传给攻击者控制的远端服务器,这些被窃的资讯可能包含在HTTP呼叫回传的URL中传出去。
 
由于攻击需要用户做出行为才会发生,因此风险程度列为“中等”。但微软表示,虽然本漏洞不足以导致系统被骇,但配合其他漏洞则可能造成严重后果。
 
这项漏洞影响所有版本的Windows,包括Windows 7、8.1、RT 8.1及10、Server 2008、2012、2016。所幸微软已在本月的每月更新予以修补。

 

2018-03-22 18:31:00

相关文章