تسمح الثغرة بإجراء بحث في Windows من ملفات MS Office دون تدخل المستخدم
هناك ثغرة أمنية جديدة في "بحث Windows" تسمح بفتح نافذة بحث مشوهة باستخدام ملفات تنفيذية للبرامج الضارة مستضافة عن بُعد. يحتاج المستخدم فقط إلى فتح مستند Word تم تكوينه خصيصًا ، وسيفتح البحث تلقائيًا.
في نظام التشغيل Windows ، قد تتضمن التطبيقات وحتى روابط HTML مراجع "بحث ms" لفتح عمليات بحث مخصصة. قد يبدو البحث المخصص على النحو التالي:
search-ms: query = proc & crumb = الموقع:٪ 5C٪ 5Clive.sysinternals.com & displayname = البحث في٪ 20Sysinternals
من خلال تشغيل مثل هذا الخط من مربع الحوار "تشغيل" (Win + R) ، سترى شيئًا كالتالي:
ال اسم العرض متغير يحدد عنوان البحث ، و كسرة خبز يحدد موقع البحث عن الملفات. بهذه الطريقة ، يدعم Windows Search البحث عن الملفات الموجودة في المواقع البعيدة ، مثل مشاركات الشبكة المثبتة ، بالإضافة إلى فهرس البحث المخزن محليًا. من خلال تحديد عنوان مخصص ، قد يضلل المهاجم المستخدم ويجعله يعتقد أنه يبحث عن ملفات على بعض الموارد المشروعة.
ومع ذلك ، فإن جعل المستخدم يفتح مثل هذا البحث يمثل مشكلة. عند النقر فوق ارتباط بحث-ms على صفحة ويب ، سيعرض المتصفح تحذيرًا إضافيًا ، بحيث يمكنك ببساطة إلغاء فتحه.
ولكن في حالة Word ، سيتم فتح البحث تلقائيًا.
هناك خلل جديد في Microsoft Office OLEObject يسمح بتجاوز طريقة العرض المحمية وتشغيل معالجات بروتوكول URI دون تدخل المستخدم ، بما في ذلك Windows Search. يُظهر العرض التوضيحي التالي بواسطةhackerfantastic مستند Word الذي يفتح تلقائيًا نافذة Windows Search ويتصل بـ SMB بعيد.
Microsoft Office search-ms: استغلال معالج URI ، يتطلب تفاعل المستخدم. غير مصححة. pic.twitter.com/iYbZNtMpnx
- hackerfantastic.crypto (hackerfantastic) 1 يونيو 2022
ونفس الشيء يعمل مع ملفات RTF أيضًا.
تخفيف الضعف
قبل أن تصدر Microsoft إصلاحًا لهذه الثغرة الأمنية ، يمكن للمستخدم ببساطة إلغاء تسجيل بروتوكول البحث. فيما يلي الخطوات.
- فتح موجه الأوامر كمسؤول.
- يصدر الأمر
reg ، تصدير HKEY_CLASSES_ROOT \ search-ms "٪ userprofile٪ \ Desktop \ search-ms.reg". قم بتصحيح المسار إلى REG إذا لزم الأمر. - نفّذ الأمر
reg حذف HKEY_CLASSES_ROOT \ search-ms / f. سيؤدي هذا إلى حذف إدخالات تسجيل بروتوكول البحث ms من السجل.
مايكروسوفت على علم بقضايا البروتوكول وهي العمل على الإصلاح. أيضًا ، الشيء الجيد الذي يمكن أن تفعله الشركة هو جعل من المستحيل تشغيل معالجات URI في Microsoft Office دون تفاعل المستخدم.
عبر الكمبيوتر
إذا كنت تحب هذه المقالة ، فيرجى مشاركتها باستخدام الأزرار أدناه. لن يستغرق الأمر منك الكثير ، لكنه سيساعدنا على النمو. شكرا لدعمك!
