Windows Tips & News

Уязвимост позволява да стартирате търсене в Windows от файлове на MS Office без взаимодействие с потребителя

click fraud protection
ПРЕПОРЪЧВА: Щракнете тук, за да коригирате проблеми с Windows и да оптимизирате производителността на системата

Има нова уязвимост от нулев ден в Windows Search, която позволява отваряне на неправилен прозорец за търсене с отдалечено хоствани изпълними файлове за злонамерен софтуер. Потребителят трябва само да отвори специално оформен документ на Word и търсенето ще се отвори автоматично.

Реклама

В Windows приложенията и дори HTML връзките могат да включват препратки към „search-ms“ за отваряне на персонализирани търсения. Персонализираното търсене може да изглежда по следния начин:

search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Търсене%20Sysinternals

Като стартирате такъв ред от диалоговия прозорец "Изпълни" (Win + R), ще видите нещо подобно:

В показвано име променливата дефинира заглавието за търсене и мръвка определя местоположението за търсене на файлове. По този начин Windows Search поддържа търсене на файлове на отдалечени местоположения, като например монтирани мрежови споделяния, в допълнение към индекса за търсене, съхраняван локално. Чрез дефиниране на персонализирано заглавие нападателят може да подведе потребителя и да го накара да мисли, че търси файлове в някакъв легитимен ресурс.

Въпреки това е проблем да накарате потребителя да отвори такова търсене. Когато щракнете върху връзка за търсене-ms, кажете на уеб страница, браузърът ще покаже допълнително предупреждение, така че можете просто да отмените отварянето му.

Но в случай на Word търсенето ще се отвори автоматично.

Нов недостатък в Microsoft Office OLEObject позволява заобикаляне на Protected View и стартиране на манипулатори на URI протоколи без взаимодействие с потребителя, включително Windows Search. Следната демонстрация от @hackerfantastic показва документ на Word, който автоматично отваря прозорец за търсене на Windows и се свързва с отдалечен SMB.

Microsoft Office search-ms: експлоатация на манипулатор на URI, изисква взаимодействие с потребителя. Незакърпено. pic.twitter.com/iYbZNtMpnx

— hackerfantastic.crypto (@hackerfantastic) 1 юни 2022 г

Същото работи и за RTF файлове.

Намаляване на уязвимостта

Преди Microsoft да пусне корекция за тази уязвимост, потребителят може просто да отмени регистрацията на протокола за търсене. Ето стъпките.

  1. Отвори Команден ред като администратор.
  2. Издайте командата reg експортиране HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Коригирайте пътя към REG, ако е необходимо.
  3. Изпълнете командата reg изтриване HKEY_CLASSES_ROOT\search-ms /f. Това ще изтрие записите за регистрация на протокола за търсене-ms от регистъра.

Microsoft е наясно с проблемите с протокола и е работи за поправка. Също така, добро нещо, което компанията може да направи, е да направи невъзможно стартирането на URI манипулатори в Microsoft Office без взаимодействие с потребителя.

Чрез bleepingкомпютър

ПРЕПОРЪЧВА: Щракнете тук, за да коригирате проблеми с Windows и да оптимизирате производителността на системата

Ако ви харесва тази статия, моля, споделете я, като използвате бутоните по-долу. Това няма да отнеме много от вас, но ще ни помогне да растем. Благодаря за подкрепата!

Надстройте Windows 10 до различни езикови архиви

Този уебсайт използва бисквитки, за да подобри вашето изживяване, докато навигирате през уебсайта...

Прочетете още

Intel пусна оптимизиран за Windows 11 GPU драйвер за Kaby Lake G-процесори

Intel пусна оптимизиран за Windows 11 GPU драйвер за Kaby Lake G-процесори

ПРЕПОРЪЧВА: Щракнете тук, за да коригирате проблеми с Windows и да оптимизирате производителностт...

Прочетете още

Как да премахнете Open in Windows Terminal Context Menu в Windows 11

Как да премахнете Open in Windows Terminal Context Menu в Windows 11

ПРЕПОРЪЧВА: Щракнете тук, за да коригирате проблеми с Windows и да оптимизирате производителностт...

Прочетете още