原标题:Windows 还是要勤升级!远程协助工具会让黑客趁虚而入
大事不好,Window 远程协助工具也出事了,这款能让别人帮你远程修复 PC 问题的工具存在一个关键漏洞。
据外媒3月21日报道,该漏洞几乎覆盖了所有现役 Windows 版本,包括 Windows 10、8.1、RT 8.1 和 7。一旦被远程攻击者利用,用户 PC 上的敏感文档就会被窃取。也就是说,原本基于远程桌面协议搭建的安全链接其实没微软宣传的那么安全。
趋势科技研究者 Nabeel Ahmed 发现了 Windows 远程协助上这个信息披露漏洞,代号为 CVE-2018-0878。攻击者可触发这个漏洞以获得敏感信息,进而对受害者的系统进行更为深入的渗透。
在本月的周二补丁日上,微软对该漏洞进行了修复。其深层问题其实存在于 Windows 远程协助处理 XML 外部实体注入(XXE)的方式上。
受 CVE-2018-0878 漏洞影响的包括 Windows Server 2016、Windows Server 2012 和 R2、Windows Server 2008 SP2 和 R2 SP1、Windows 10 (32 和 64 位), Windows 8.1(32 和 64 位)和 RT 8.1,此外还有更老的 Windows 7(32 和 64 位)。
雷锋网了解到,除此之外,Nabeel 还公布了在线技术细节和概念验证版漏洞攻击代码。
攻击者可以使用“带外数据检索”技术来利用该漏洞。一旦建立了 Windows 远程协助连接,攻击者就可以:
邀请某人来帮助自己;
帮助其他需要帮助的人。
当你邀请某人来帮助自己,就会生成一个邀请文件,这其中就包含了用于身份认证的 XML 数据。
下表为请求中的参数设置:
起初,专家使用 MSXML3 来解析 XML 数据,发现它并没有适当的验证内容。这就意味着攻击者能发送一个专门制作的远程协助邀请文件给受害者,而该文件中包含了恶意代码,可以命令被攻击电脑将未知位置的特殊文档内容提交到远程服务器上,攻击者就是远程服务器的主人。
不过,攻击者并非畅通无阻,他无法强迫用户点开带毒的内容,只能靠花言巧语来欺骗对方点击。
专家警告称,.msrcincident 邀请文件可能会引发大规模的网络钓鱼攻击,一旦中招,敏感信息的泄露就会不可避免的发生。
“XXE 漏洞非常适合钓鱼攻击,那些感觉自己是在帮助别人的人很容易中招。由于受害者根本不知道自己的处境,因此攻击者可以轻松的拿到 log/config 文件,而这些文件中可存了用户名和密码等关键信息。”Ahmed 总结道。
同时,针对该漏洞的自动化工具也在不断增多。所以,雷锋网建议,赶紧升级最新版的 Windows 远程协助吧,别被人卖了还帮忙数钱。
雷锋网Via. Security Affairs
,Windows 还是要信阳红 勤升级!远程协助工具会让黑客趁虚而入相关:
基于微软Azure技术,全球首个区块链投资产品发布原标题:基于微软Azure技术,全球首个区块链投资产品发布 雷锋网注:图片来源于微软官网 雷锋网·AI金融评论3月22日消息 本周三,微软官方宣布,全球首个基于区块链的投资产品已经推出。 一家新成立的英国金融技术公司 Nivaura,在使用了微软 Azure 云技术的基础上创建了这款基于区块链的投资产品。该款产品能处理两种与 FTSE 100(英国富时100指数:由世界级的指数计算金融机构 FTSE 所编制)相关的保本票据(注..
金出武雄、张力、康典加盟景驰,韩旭正式担纲CEO原标题:金出武雄、张力、康典加盟景驰,韩旭正式担纲CEO 在王劲和百度一案尘埃落定以后,景驰也和自己的创始人王劲进行了切割。 屡新景驰CEO的韩旭用“两岸猿声啼不住,轻舟已过万重山”来形容上任后的感受。今天3月22日,景驰正式任命韩旭为CEO,李岩担任CTO。 除了部分的人事调整之外,还有新的人员进入景驰科技,原思科大中华区资深副总裁张力加入公司担任VP Operations;卡内基梅隆大学教授、美国工程院院士,美..
赛尔推荐:精选前沿论文第 1 弹原标题:赛尔推荐:精选前沿论文第 1 弹 雷锋网AI科技评论按:本文将推荐4篇精选前沿论文,以供参考学习。每篇荐文将包含推荐人简评、推荐人研究方向等。如对论文有疑问或者想进一步交流,欢迎大家联系推荐人共同讨论。 本文内容转载自哈尔滨工业大学社会计算与信息检索研究中心 公众号(微信ID:HIT_SCIR)的「赛尔推荐」栏目第1期,可关注公众号获得更多资讯。雷锋网AI科技评论获其授权转载。 NO.1 推荐组:S..
Uber撞人致死,无人驾驶还缺远红外热成像传感器原标题:Uber撞人致死,无人驾驶还缺远红外热成像传感器 美国东部时间 3 月 19 日晚间,一辆 Uber 的自动驾驶汽车在亚利桑那州坦佩市的公共道路上与一名行人相撞,该行人在送往医院后不治身亡。 警方在一份声明中称:「当时该车辆正往北行驶,一名女性在人行道外穿过一条四车道道路时被它撞倒。」 坦佩市警察局长西尔维娅·莫伊尔(Sylvia Moir)在接受采访时称:「基于受害人是从阴影中突然出现在马路..
区块链研习 | 区块链真能消除信息不对称吗?原标题:区块链研习 | 区块链真能消除信息不对称吗? 雷锋网AI金融评论按:本文作者为中国信息通信研究院(工信部电信研究院)专家敖萌博士,雷锋网独家特约文章,雷锋网(公众号:雷锋网)与信通院子公司泰尔英福(微信号Teleinfo_)联合首发。未来,敖萌博士原创的区块链系列文章还将继续刊出,敬请关注! 很多区块链研究者、创业者都宣称区块链的一大优势是能够消除信息不对称。在区块链体系下,能够确保参与的各方信..
独家 | “过气网红”亿航在美国申请破产原标题:独家 | “过气网红”亿航在美国申请破产 雷锋网消息,曾以亿航 184 载人无人机火爆朋友圈的亿航,其美国分公司已于去年底在加州申请破产。 加州法庭公布的信息截图 根据法庭公布的信息,此次破产申请提交于当地时间 2017 年 12 月 29 日,公司资产在 10 到 50 万美元之间,而债务高达 100 到 1000 万美元。 知情人士向雷锋网透露,亿航美国分公司申请破产的原因包括: 1、消费类无..
美团打车上线即被约谈 扎心了「有关部门」原标题:美团打车上线即被约谈 扎心了「有关部门」 3月21日,“美团打车”网约车平台在上海正式上线运行。同时,遭有关部门”约谈“。 鉴于“美团打车”已发布宣传用语及车辆注册的有关情况,上海市交通委、市公安局、市价检局联合约谈“美团打车”所属“上海路团科技有限公司”相关负责人,要求该公司严格遵照上海巡游出租车、网约车等相关管理规定,规范开展营运活动。 此处所提”上海路团科技有限公司“,系美团..
马甲车横行?深扒虚假注册网约车账户黑产链原标题:马甲车横行?深扒虚假注册网约车账户黑产链 周末,同好友聚会完准备回家的宅宅用某滴叫了一辆快车,车是到了,车牌号却变了。司机解释说,他最近刚换车辆车,没来得及同步信息。 凑巧的是,刚刚聚会完的同学也在群里吐槽说,叫到了一辆与APP车辆号不同的外地车,司机的回应是,自己车坏了,临时拿以前的另一辆车跑。 “瞎扯,哪有那么凑巧。”群里心直口快的同学点评道。 的确,太过凑巧了。 李代桃僵——马甲..
熊孩子怎么“乖”一点?这个乌龟机器人有妙招原标题:熊孩子怎么“乖”一点?这个乌龟机器人有妙招 智能机器人逐步普及家庭,但由于小孩子天性“捣蛋”,经常会容易损坏它,为了教导孩子们与机器人友好相处,近日,韩国科学家推出一款名为 Shelly 乌龟机器人,这只乌龟,开心时它的壳会闪起明亮的光,当遭受到攻击时就会躲回壳里。 Shelly 形似乌龟,尺寸较大, Shelly 龟壳机身内搭载了 LED 灯、震动传感器,能够感受触摸与碰撞,可爱的头部及四肢可以自由移动,能..
解码中国版原油期货:境内交易者可以参与的国际化平台摘要 【解码中国版原油期货:境内交易者可以参与的国际化平台】证监会期货部副主任程莘22日表示,上市原油期货能够更好地服务我国实体经济高质量发展,既有利于为国内涉油企业提供有效的风险管理工具,有利于为产业链企业提供价格参考,也有利于形成金融市场全面开放的新格局,还将为全球投资者提供更多的中国市场机会和更加丰富的投资选择。(第一财经) ..