Esta vulnerabilidad se puede utilizar de manera genuina en los ataques de phishing a gran escala
Siempre se advirtió que no compartas el acceso remoto a tu computadora con personas que no son de confianza por algún motivo: es un consejo básico de seguridad cibernética y de sentido común, ¿no?
Pero, ¿y si, digo que ni siquiera deberías confiar en nadie que te invite o te ofrezca acceso remoto completo a sus computadoras?
Se ha descubierto una vulnerabilidad crítica en la función Asistencia remota de Windows (Ayuda rápida) de Microsoft que afecta a todas las versiones de Windows hasta la fecha, incluidos Windows 10, 8.1, RT 8.1 y 7, y permite a los atacantes remotos robar archivos confidenciales en la máquina seleccionada.
La asistencia remota de Windows es una herramienta integrada que permite que alguien de confianza tome control de tu PC (o que tome el control remoto de otras personas) para que puedan ayudarte a solucionar un problema desde cualquier parte del mundo.
La característica se basa en el protocolo de escritorio remoto (RDP) para establecer una conexión segura con la persona necesitada.
Sin embargo, Nabeel Ahmed de Trend Micro Zero Day Initiative descubrió y reportó una vulnerabilidad de divulgación de información (CVE-2018-0878) en Asistencia remota de Windows que podría permitir a los atacantes obtener información para comprometer aún más el sistema de la víctima.
La vulnerabilidad, que ha sido resuelta por la compañía en el parche de este mes, reside en la forma en que Windows Remote Assistance procesa las Entidades Externas XML (XXE).
La vulnerabilidad afecta a Microsoft Windows Server 2016, Windows Server 2012 y R2, Windows Server 2008 SP2 y R2 SP1, Windows 10 (ambos de 32 y 64 bits), Windows 8.1 (ambos de 32 y 64 bits) y RT 8.1, y Windows 7 (32 y 64 bits).
Explotando la asistencia remota de Windows para robar archivos
Dado que ahora está disponible un parche de seguridad para esta vulnerabilidad, el investigador finalmente ha lanzado al público los detalles técnicos y el código de prueba de concepto de la vulnerabilidad.
Para explotar esta falla, que reside en el analizador MSXML3, el pirata informático necesita utilizar la técnica de ataque "Extracción de datos fuera de banda" al ofrecer a la víctima acceso a su computadora a través de Asistencia remota de Windows.
Al configurar Asistencia remota de Windows, la función ofrece dos opciones: invitar a alguien para que ayude y responder a alguien que necesite ayuda.
Seleccionar la primera opción ayuda a los usuarios a generar un archivo de invitación, es decir, 'invitation.msrcincident', que contiene datos XML con muchos parámetros y valores necesarios para la autenticación.
Dado que el analizador no valida correctamente el contenido, el atacante puede simplemente enviar a la víctima un archivo de invitación de Asistencia remota especialmente diseñado que contenga una carga maliciosa, engañando a la computadora objetivo para que envíe el contenido de archivos específicos desde ubicaciones conocidas a un servidor remoto controlado por los atacantes.
"La información robada podría enviarse al atacante como parte de la URL en la(s) solicitud(es) HTTP. En todos los casos, un atacante no tendría manera de forzar a un usuario a ver el contenido controlado por el atacante. En cambio, un atacante tendría que convencer a un usuario para que actuara", explica Microsoft.
"Esta vulnerabilidad XXE se puede utilizar de manera genuina en los ataques de phishing a gran escala dirigidos a personas que creen que realmente están ayudando a otra persona con un problema de TI. Totalmente inconsciente de que el archivo de invitación .msrcincident podría dar como resultado la pérdida de información confidencial", advierte Ahmed.
Entre los parches de otras vulnerabilidades críticas resueltas este mes, se recomienda encarecidamente a los usuarios de Windows que instalen lo antes posible la última actualización para Asistencia remota de Windows.
