Een beveiligingslek in Windows Remote Assistance dat Microsoft deze maand patchte was voor phishingaanvallen te gebruiken, zo laat onderzoeker Nabeel Ahmed weten die de kwetsbaarheid ontdekte. Remote Assistence (Hulp op afstand) is een functie van Windows waarmee het mogelijk is om op afstand een computer over te nemen.

Het maakt gebruik van het remote desktopprotocol voor het opzetten van een beveiligde verbinding naar de computer. Remote Assistence wordt onder andere gebruikt voor het helpen van mensen die problemen met hun computer hebben. In dit geval moet de persoon die geholpen wil worden een uitnodiging naar de helper versturen. De uitnodiging kan lokaal op de computer worden opgeslagen, waarna de gebruiker die zelf bij de helper moet zien te krijgen. Daarnaast biedt Remote Assistence de optie om de uitnodiging naar de helper te e-mailen.

De uitnodiging wordt als een .msrcincident-bestand opgeslagen of verstuurd en is eigenlijk een XML-bestand dat allerlei informatie over het systeem. Ahmed ontdekte dat het mogelijk was om het .msrcincident-bestand aan te passen. Zodra een helper het aangepaste bestand opent kan er een bestand met informatie over zijn systeem naar de aanvaller worden gestuurd. "Deze kwetsbaarheid kan echt worden gebruikt in grootschalige phishingaanvallen op personen die denken dat ze andere mensen met hun it-problemen helpen", aldus de onderzoeker.

Ahmed ontdekte het probleem vorig jaar februari en in november werd Microsoft gewaarschuwd. Op 13 maart patchte Microsoft het probleem. De softwaregigant liet daarbij weten dat de kwetsbaarheid niet voldoende is om een systeem over te nemen, maar wel informatie kan opleveren die helpt bij het compromitteren van een systeem.