Уязвимост позволява да стартирате търсене в Windows от файлове на MS Office без взаимодействие с потребителя

Има нова уязвимост от нулев ден в Windows Search, която позволява отваряне на неправилен прозорец за търсене с отдалечено хоствани изпълними файлове за злонамерен софтуер. Потребителят трябва само да отвори специално оформен документ на Word и търсенето ще се отвори автоматично.

В Windows приложенията и дори HTML връзките могат да включват препратки към „search-ms“ за отваряне на персонализирани търсения. Персонализираното търсене може да изглежда по следния начин:

search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Търсене%20Sysinternals

Като стартирате такъв ред от диалоговия прозорец "Изпълни" (Win + R), ще видите нещо подобно:

В показвано име променливата дефинира заглавието за търсене и мръвка определя местоположението за търсене на файлове. По този начин Windows Search поддържа търсене на файлове на отдалечени местоположения, като например монтирани мрежови споделяния, в допълнение към индекса за търсене, съхраняван локално. Чрез дефиниране на персонализирано заглавие нападателят може да подведе потребителя и да го накара да мисли, че търси файлове в някакъв легитимен ресурс.

Въпреки това е проблем да накарате потребителя да отвори такова търсене. Когато щракнете върху връзка за търсене-ms, кажете на уеб страница, браузърът ще покаже допълнително предупреждение, така че можете просто да отмените отварянето му.

Но в случай на Word търсенето ще се отвори автоматично.

Нов недостатък в Microsoft Office OLEObject позволява заобикаляне на Protected View и стартиране на манипулатори на URI протоколи без взаимодействие с потребителя, включително Windows Search. Следната демонстрация от @hackerfantastic показва документ на Word, който автоматично отваря прозорец за търсене на Windows и се свързва с отдалечен SMB.

Microsoft Office search-ms: експлоатация на манипулатор на URI, изисква взаимодействие с потребителя. Незакърпено. pic.twitter.com/iYbZNtMpnx

— hackerfantastic.crypto (@hackerfantastic) 1 юни 2022 г

Същото работи и за RTF файлове.

Намаляване на уязвимостта

Преди Microsoft да пусне корекция за тази уязвимост, потребителят може просто да отмени регистрацията на протокола за търсене. Ето стъпките.

1. Отвори Команден ред като администратор.
2. Издайте командата reg експортиране HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Коригирайте пътя към REG, ако е необходимо.
3. Изпълнете командата reg изтриване HKEY_CLASSES_ROOT\search-ms /f. Това ще изтрие записите за регистрация на протокола за търсене-ms от регистъра.

Microsoft е наясно с проблемите с протокола и е работи за поправка. Също така, добро нещо, което компанията може да направи, е да направи невъзможно стартирането на URI манипулатори в Microsoft Office без взаимодействие с потребителя.

Чрез bleepingкомпютър