Windows Remote Assistance yang disertakan dalam semua distribusi Windows dapat disalahgunakan untuk peretasan dalam serangan yang ditargetkan.
Peneliti keamanan dari Belgia, Nabeel Ahmed menemukan kerentanan dalam alat tersebut pada bulan Februari tahun lalu dan melaporkannya ke Microsoft pada bulan Oktober. Patch untuk kerentanan, dilacak sebagai CVE-2018-0878, disertakan dalam Patch Maret 2018 yang dirilis minggu lalu.
Kerentanan ideal untuk eksfiltrasi data
Kerentanan memungkinkan penyerang untuk mengekstrak file apa pun dari komputer korban tanpa sepengetahuan target dan mengunggahnya ke server remote.
Karena ini, kerentanan sangat sempurna untuk eksfiltrasi data dan dapat digunakan untuk mencuri file apa pun dari komputer korban secara diam-diam.
Kabar baiknya adalah bahwa ini tidak dapat dieksploitasi secara massal dan memerlukan social engineering untuk mengelabui korban dalam membuka sesi remote.
Bagaimana serangan bekerja
Untuk memahami cara kerja kerentanan/peretasan ini, pengguna harus mengetahui cara kerja Windows Remote Assistance.
Seperti namanya, ini adalah alat bantuan untuk me-remote, mirip dengan TeamViewer, namun ini dibuat oleh Microsoft dan dibundel dengan semua versi Windows sejak XP.
Ketika seseorang meminta bantuan dari pengguna lain melalui Windows Remote Assistance, aplikasi menghasilkan file bernama “Invitation.msrcincident.”
Pengguna yang meminta bantuan perlu mengirim file ini melalui email atau cara lain kepada orang yang telah setuju untuk membantu. “Pembantu” perlu mengklik dua kali file ini untuk terhubung ke komputer “pemohon” melalui sesi desktop remote.
“Invitation.msrcincident” tidak lebih dari file XML yang berisi berbagai data konfigurasi. Ahmed menemukan bahwa Microsoft gagal membersihkan file ini dan dia dapat menanamkan XML External Entity (XEE) yang terkenal digunakan untuk mengeksploitasi dalam file tersebut.
Ketika korban membuka file, alat Windows Remote Assistance korban dapat diakali dengan mengambil file lokal dan mengunggahnya ke server remote.
Peretasan ini bisa berguna dalam serangan yang ditargetkan
Penyerang dapat menggunakan kerentanan ini untuk mencuri file yang berisi informasi sensitif, yang diketahui ada pada PC target, seperti log, backup, file database, INI dan file pengaturan lainnya yang mungkin berisi kata sandi atau opsi konfigurasi lainnya.
Sebagaimana disebutkan sebelumnya, jenis kerentanan ini tidak dapat dieksploitasi secara massal dan membutuhkan meyakinkan korban untuk memberikan dukungan teknis di tempat pertama. Oleh karena itu, CVE-2018-0878 sangat ideal hanya untuk sebagian kecil dari serangan yang ditargetkan terhadap individu profil tinggi tertentu yang terbuka untuk memberikan bantuan teknis.
Microsoft telah merilis patch untuk semua versi OS Windows 7 dan versi yang lebih baru. Pada sistem Windows 10, Microsoft telah menggantikan alat tersebut dengan alat yang lebih baru bernama Quick Assist yang tidak rentan terhadap jenis serangan ini, karena menggunakan kode undangan, bukan file undangan.
