Assistenza remota di Windows: è possibile sottrarre qualunque dato


Tutte le versioni di Windows integrano uno strumento software chiamato Assistenza Remota che può essere utilizzato per richiedere aiuto a un altro utente senza appoggiarsi a programmi sviluppati da terze parti.

Il funzionamento di Assistenza remota si basa sull’utilizzo di un file di invito, chiamato Invitation.msrcincident.
Tale file altro non è che un XML contenente varie informazioni per attivare la connessione remota: cliccando due volte su tale file, un utente remoto può accedere direttamente al sistema di colui che ha richiesto aiuto.

Il ricercatore di sicurezza belga Nabeel Ahmed ha tuttavia scoperto un’importante falla di sicurezza in Assistenza remota.
Come spiegato in questa analisi tecnica, un aggressore può agevolmente creare un file Invitation.msrcincident e modificarne il contenuto inserendo alcune direttive, sempre in formato XML, per richiedere l’upload di file contenenti dati sensibili dal sistema remoto.
Spronando la vittima a fare doppio clic su un file Invitation.msrcincident preparato ad arte, l’aggressore può immediatamente ottenere qualunque file memorizzato sul sistema altrui.
Fortunatamente Microsoft ha appena risolto il problema, con il rilascio degli aggiornamenti mensili per Windows di marzo 2018.
Se non si utilizzare la funzionalità Assistenza remota, si può comunque premere la combinazione di tasti Windows+R, digitare sysdm.cpl, cliccare sulla scheda Connessione remota e disattivare la casella Consenti connessioni di Assistenza remota al computer.

Il nuovo tool per il supporto remoto chiamato Assistenza rapida e presente in Windows 10 non è vulnerabile.