Windows Exploit de asistencia remota permite a los piratas inform√°ticos robar archivos confidenciales

windows-asistencia remota

Siempre se le ha advertido que no comparta el acceso remoto a su computadora con personas que no son de confianza por ning√ļn motivo: es un consejo b√°sico de seguridad cibern√©tica y sentido com√ļn, ¬Ņverdad?

Pero qué pasa si digo que ni siquiera debe confiar en nadie que lo invite o le ofrezca acceso remoto total a sus computadoras.

Se ha descubierto una vulnerabilidad crítica en Microsoft Windows Asistencia remotaFunción e (Asistencia rápida) que afecta a todas las versiones de Windows hasta la fecha, incluyendo Windows 10, 8.1RT 8.1y 7y permite a los atacantes remotos robar archivos confidenciales en la máquina de destino.

Windows Remote Assistance es una herramienta integrada que permite que alguien de su confianza se haga cargo de su PC (o que usted tome el control remoto de otros) para que puedan ayudarlo a solucionar un problema desde cualquier parte del mundo.

La función se basa en el Protocolo de escritorio remoto (RDP) para establecer una conexión segura con la persona que lo necesita.

Sin embargo, Nabeel Ahmed de Trend Micro Zero Day Initiative descubri√≥ e inform√≥ una vulnerabilidad de divulgaci√≥n de informaci√≥n (CVE-2018-0878) en Windows Asistencia remota que podr√≠a permitir a los atacantes obtener informaci√≥n para comprometer a√ļn m√°s el sistema de la v√≠ctima.

La vulnerabilidad, que ha sido corregida por la compa√Ī√≠a en el parche de este mes el martes, reside en el camino Windows La asistencia remota procesa entidades externas XML (XXE).

La vulnerabilidad afecta a Microsoft Windows Servidor 2016, Windows Server 2012 y R2, Windows Server 2008 SP2 y R2 SP1, Windows 10 (tanto de 32 como de 64 bits), Windows 8.1 (tanto de 32 como de 64 bits) y RT 8.1y Windows 7 (tanto de 32 como de 64 bits).

Explotando Windows Asistencia remota para robar archivos

Windows-Asistencia remota

Dado que ahora hay disponible un parche de seguridad para esta vulnerabilidad, el investigador finalmente ha publicado al p√ļblico detalles t√©cnicos y un c√≥digo de explotaci√≥n de prueba de concepto para la falla.

Para explotar esta falla, que reside en el analizador MSXML3, el hacker necesita usar la t√©cnica de ataque “Recuperaci√≥n de datos fuera de banda” ofreciendo a la v√≠ctima acceso a su computadora a trav√©s de Windows Asistencia remota.

Mientras configura Windows Asistencia remota, la función le ofrece dos opciones: invitar a alguien a que lo ayude y responder a alguien que necesita ayuda.

Seleccionar la primera opci√≥n ayuda a los usuarios a generar un archivo de invitaci√≥n, es decir, “invitation.msrcincident”, que contiene datos XML con muchos par√°metros y valores necesarios para la autenticaci√≥n.

Windows  Exploit de asistencia remota

Dado que el analizador no valida correctamente el contenido, el atacante puede simplemente enviar un archivo de invitaci√≥n de Asistencia remota especialmente dise√Īado que contiene una carga maliciosa a la v√≠ctima, enga√Īando a la computadora objetivo para enviar el contenido de archivos espec√≠ficos desde ubicaciones conocidas a un servidor remoto controlado por los atacantes

“La informaci√≥n robada podr√≠a enviarse como parte de la URL en las solicitudes HTTP al atacante. En todos los casos, un atacante no tendr√≠a forma de obligar a un usuario a ver el contenido controlado por el atacante. En cambio, un atacante tendr√≠a convencer a un usuario para que tome medidas “, explica Microsoft.

“Esta vulnerabilidad XXE se puede usar genuinamente en ataques de phishing a gran escala dirigidos a personas que creen que realmente est√°n ayudando a otra persona con un problema de TI. Sin darse cuenta de que el archivo de invitaci√≥n .msrcidentident podr√≠a potencialmente provocar la p√©rdida de informaci√≥n confidencial”, advierte Ahmed.

Entre los parches de otras vulnerabilidades cr√≠ticas solucionadas este mes, Windows Se recomienda a los usuarios que instalen la √ļltima actualizaci√≥n para Windows Asistencia remota lo antes posible.