У березні 2018 року розробники Microsoft усунули уразливість CVE-2018-0878 , Виявлену бельгійським фахівцем Trend Micro Zero Day Initiative Набіль Ахмедом (Nabeel Ahmed). Баг в в Windows Remote Assistance (Видалений помічник Windows) приводив до небажаного розкриття інформації та дозволяв атакуючому викрасти практично будь-які файли з комп'ютера жертви.

Перед проблемою були уразливі: Microsoft Windows Server 2016, Windows Server 2012 і R2, Windows Server 2008 SP2 і R2 SP1, Windows 10 (x64 і x86), Windows 8.1 (x64 і x86) і RT 8.1, а також Windows 7 (x64 і x86). Після виходу виправлення, Ахмед опублікував детальну інформацію про уразливість і proof-of-concept експлоїта в своєму блозі.

Віддалений помічник Windows - це засіб віддаленого адміністрування, за допомогою якого користувач може надати доступ до свого комп'ютера третій особі, наприклад, для виправлення будь-якої проблеми. Ахмед виявив, що Remote Assistance некоректно обробляє XML External Entities (XXE), в результаті чого зловмисник може реалізувати наступну атаку.

Для початку атакуючий повинен скористатися функцією запрошення третьої сторони для роботи зі своїм комп'ютером і створити файл виду invitation.msrcincident. Так як файл запрошення містить XML-дані, а парсер MSXML3 обробляє їх некоректно, Ахмед зумів вбудувати в нього відомий XXE-експлоїт. Зловмиснику залишається пустити в хід соціальну інженерію і відправити invitation.msrcincident своїй жертві, нібито запрошуючи її допомогти розібратися з якоюсь проблемою.

Як тільки користувач відкриє спеціально створений invitation.msrcincident з експлоїтом, певні локальні файли з його комп'ютера будуть завантажені на віддалений сервер, що належить зловмиснику.

Дослідник відзначає, що хоча така техніка не підходить для масового використання, вразливість CVE-2018-0878 може використовуватися для націлених атак, тобто зловмисник може викрасти конкретні логи, БД, ключі, файли конфігурації і іншу конфіденційну інформацію.