Se ha detectado un nuevo fallo crítico en la herramienta de Asistencia Remota de Windows que podría permitir que un atacante malintencionado se haga cargo de nuestro equipo al mismo tiempo que nos ayuda a solucionar un problema.
Nos referimos a una vulnerabilidad crítica en la función de Asistencia Remota de Microsoft Windows que afecta a todas las versiones del sistema, incluyendo Windows 10, 8.1, y 7. Este es un fallo que podría ser explotado por un atacante remoto para robar archivos personales del equipo. Como sabrás, la herramienta de Asistencia Remota de Windows permite que alguien de confianza se haga cargo de nuestro equipo para que así pueda ayudarnos a solucionar un problema.
Cabe mencionar que esta es una función que se basa en el Protocolo de Escritorio Remoto o RDP para establecer una conexión segura con la persona que lo necesita. Así, el investigador de Trend Micro, Nabeel Ahmed, descubrió una vulnerabilidad de fuga de información en la Asistencia Remota que ha sido marcada como CVE-2018-0878. De este modo un atacante puede aprovechar este fallo para obtener información que comprometa aún más el sistema de la víctima.
Por lo tanto, Microsoft corrigió la vulnerabilidad este mismo mes con el parche del Patch Tuesday. Hay que tener en cuenta que esta es una vulnerabilidad que afecta a Windows Server 2016, Windows Server 2012 y R2, Windows Server 2008 SP2 y R2 SP1, Windows 10, Windows 8.1 y Windows 7. Una vez solucionado el problema, Nabeel ha publicado más detalles técnicos on-line y un código de explotación de prueba para la mencionada vulnerabilidad.
Descubren un fallo de seguridad en la Asistencia Remota de Windows
De este modo el atacante puede utilizar la técnica de ataque conocida como “Out-of-Band Data Retrieval” para explotar esta vulnerabilidad que reside en el analizador MSXML3, todo con el fin de obtener acceso remoto a nuestro equipo a través de la mencionada función de Windows.
Y es que cuando invitamos a un tercero para que nos ayude, se genera un archivo de invitación llamado “invitation.msrcincident”, que contiene datos XML utilizados para la autenticación, por lo que el investigador ha descubierto que estos datos XML no validan correctamente el contenido.
Dicho esto, el atacante puede enviar un archivo de invitación de Asistencia Remota propio que contenga un código malicioso y hace que el equipo de destino envíe el contenido de archivos específicos a un servidor remoto controlado por los atacantes.
Por tanto y para evitar posibles disgustos, tal y como suele ser habitual en estos casos se recomienda actualizar Windows a su última versión lo antes posible.
