圖片來源: 

趨勢科技

安全業者發現微軟遠端協助(remote assistance)存在一項漏洞,可能導致用戶電腦敏感資訊被竊取。
 
趨勢科技的Zero Day Initiative研究人員 Nabeel Ahmed發現該漏洞後通報微軟。編號CVE-2018-0878為一XXE (XML External Entity)漏洞,它發生在Windows遠端協助服務。這項服務讓用戶可以發訊息邀請他人協助,或是接受他人邀請提供協助。攻擊則發生在後者。
 
接受他人邀請時,用戶會將邀請儲存為.msrcincident檔,或是收到一則包含.msrcincident附檔的電子郵件。這個檔的XML資料包括多種參數及值。然而Windows的XML parser並未執行充份的驗證,使攻擊者可以加入惡意值,鎖定包含用戶名稱及密碼的特定log或config檔。
 
此一XXE漏洞可被發動大規模網釣攻擊。駭客只要傳送一則惡意遠端協助邀請給用戶,後者接受邀請時以為能幫人解決IT問題,卻不知電腦中資訊,或是他透過URL可讀取的資訊,已傳給攻擊者控制的遠端伺服器,這些被竊的資訊可能包含在HTTP呼叫回傳的URL中傳出去。
 
由於攻擊需要用戶做出行為才會發生,因此風險程度列為「中等」。但微軟表示,雖然本漏洞不足以導致系統被駭,但配合其他漏洞則可能造成嚴重後果。
 
這項漏洞影響所有版本的Windows,包括Windows 7、8.1、RT 8.1及10、Server 2008、2012、2016。所幸微軟已在本月的每月更新予以修補。

 

熱門新聞

Advertisement