Vulnerabilità su Assistenza Remota Windows

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una vulnerabilità degna di nota all’interno del componente di Assistenza Remota presente nella gran parte dei sistemi operativi Microsoft Windows. La criticità è nota con l’identificativo CVE-2018-0878.

Ricercatori di terze parti hanno individuato una problematica all'interno del motore di interpretazione dei file “.msrcincident”, utilizzati da Windows Remote Assistance per il salvataggio di inviti a sessioni di assistenza: l’apertura di file di invito appositamente creati può mettere a rischio le informazioni accessibili dalla macchina vittima. La vulnerabilità permette infatti ad un attaccante remoto di trafugare file presenti all'interno dell’host vittima, esfiltrando dati utilizzabili per ulteriori fasi di attacco come credenziali o informazioni interne, oppure, nel caso peggiore, informazioni proprietarie, riservate o personali.

Il componente di Assistenza Remota è presente all'interno di sistemi Windows 7, Windows 8.1, Windows 10, Windows Server 2008, Windows Server 2012, Windows Server 2012 R2 e Windows Server 2016, per i quali il Produttore ha rilasciato opportuni aggiornamenti di sicurezza (rif. security advisory CVE-2018-0878).

Benché lo sfruttamento della vulnerabilità richieda interazione utente dovuta all'apertura dei file “.msrcincident”, gli scenari di attacco possono essere molteplici, ad esempio:

• Attacchi Phishing opportunistici volti ad furto di dati e credenziali utili ad ulteriori compromissioni o usi illeciti.
• Attacchi drive-by-download o watering-hole durante la navigazione utente per il furto di dati e credenziali utili ad ulteriori compromissioni.
• Attacchi Phishing mirati (e.g. spear phishing) per furto di dati riservati o credenziali utili ad ulteriori propagazioni.

A questo proposito, considerando l’assenza di workaround segnalata dal Produttore e la disponibilità di strumenti di attacco, Yoroi consiglia di pianificare l’applicazione degli aggiornamenti di sicurezza riportati all’interno del bollettino di sicurezza indicato.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index