MONASTUCE Le 1er blog ivoirien dédié à la sécurité informatique et à la cybersécurité
Windows Remote Assistance est un logiciel de téléassistance, aussi appelé l’Assistance à distance Windows qui permet à une personne de confiance de prendre le contrôle votre PC et de résoudre un problème où qu’il se trouve.
Vous avez toujours été averti de ne pas partager l’accès à distance à votre ordinateur avec des personnes non fiables pour une raison quelconque; c’est un conseil de base en matière de cybersécurité, et de bon sens, n’est-ce pas?
Mais que se passe-t-il si, je dis, vous ne devriez même pas faire confiance à quiconque vous invite ou vous offre un accès à distance complet à leurs ordinateurs ?
Une vulnérabilité critique a été découverte dans la fonction Assistance à distance de Windows (assistance rapide) de Microsoft qui concerne toutes les versions de Windows, y compris Windows 10, 8.1, RT 8.1 et 7, et permet aux attaquants distants de voler des fichiers sensibles sur la machine ciblée.
Le mode de fonctionnement de Windows Remote Assistance
La fonctionnalité repose sur le protocole RDP (Remote Desktop Protocol) pour établir une connexion sécurisée avec la personne dans le besoin.
Cependant, Nabeel Ahmed de Trend Micro Zero Day Initiative a découvert et signalé une vulnérabilité de divulgation d’informations dans Windows Remote Assistance qui pourrait permettre aux pirates d’obtenir des informations pour compromettre d’avantage le système de la victime.
La vulnérabilité, qui a été corrigée mardi par l’entreprise dans le correctif de ce mois-ci, réside dans la façon dont l’assistance à distance Windows traite les entités externes XML (XXE).
La vulnérabilité affecte Microsoft Windows Server 2016, Windows Server 2012 et R2, Windows Server 2008 SP2 et R2 SP1, Windows 10 (32 et 64 bits), Windows 8.1 (32 et 64 bits) et RT 8.1, et Windows 7 (à la fois 32 et 64 bits).
Lire aussi: Détecter et bloquer les bad bots
Mise à jour disponible
Puisqu’un correctif de sécurité pour cette vulnérabilité est maintenant disponible, le chercheur a finalement publié des détails techniques et un code d’exploitation de validation de concept pour la faille au public.
Afin d’exploiter cette faille, qui réside dans l’analyseur MSXML3, le hacker doit utiliser la technique d’attaque «Extraction de données hors bande» en offrant à la victime l’accès à son ordinateur via l’assistance à distance Windows.
Lors de la configuration de l’assistance à distance Windows, la fonction vous offre deux options: inviter quelqu’un à vous aider et répondre à quelqu’un qui a besoin d’aide.
La sélection de la première option aide les utilisateurs à générer un fichier d’invitation, c’est-à-dire ‘invitation.msrcincident’, qui contient des données XML avec un grand nombre de paramètres et de valeurs requis pour l’authentification.
« Cette vulnérabilité XXE peut être réellement utilisée dans les attaques de phishing à grande échelle ciblant des individus croyant vraiment aider une autre personne ayant un problème informatique, ignorant totalement que le fichier d’invitation .msrcincident pourrait potentiellement entraîner la perte d’informations sensibles », prévient Ahmed.
Parmi les correctifs d’autres vulnérabilités critiques corrigés ce mois-ci, il est fortement recommandé aux utilisateurs de Windows d’installer la dernière mise à jour pour l’assistance à distance Windows dès que possible.
Lire aussi: Réseau 4G / LTE : De nouvelles vulnérabilités découvertes
