Уязвимост позволява да стартирате търсене в Windows от файлове на MS Office без взаимодействие с потребителя
Има нова уязвимост за нулев ден в Windows Search, която позволява отваряне на неправилен прозорец за търсене с отдалечено хоствани изпълними файлове за злонамерен софтуер. Потребителят трябва само да отвори специално оформен документ на Word и търсенето ще се отвори автоматично.
В Windows приложенията и дори HTML връзките могат да включват препратки към „search-ms“ за отваряне на персонализирани търсения. Персонализираното търсене може да изглежда по следния начин:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Търсене%20Sysinternals
Като стартирате такъв ред от диалоговия прозорец "Изпълни" (Win + R), ще видите нещо подобно:
В показвано име променливата дефинира заглавието за търсене и мръвка определя местоположението за търсене на файлове. По този начин Windows Search поддържа търсене на файлове на отдалечени местоположения, като например монтирани мрежови споделяния, в допълнение към индекса за търсене, съхраняван локално. Чрез дефиниране на персонализирано заглавие нападателят може да подведе потребителя и да го накара да мисли, че търси файлове в някакъв легитимен ресурс.
Въпреки това е проблем да накарате потребителя да отвори такова търсене. Когато щракнете върху връзка за търсене-ms, кажете на уеб страница, браузърът ще покаже допълнително предупреждение, така че можете просто да отмените отварянето му.
Но в случай на Word търсенето ще се отвори автоматично.
Нов недостатък в Microsoft Office OLEObject позволява заобикаляне на Protected View и стартиране на манипулатори на URI протоколи без взаимодействие с потребителя, включително Windows Search. Следната демонстрация от @hackerfantastic показва документ на Word, който автоматично отваря прозорец за търсене на Windows и се свързва с отдалечен SMB.
Microsoft Office search-ms: експлоатация на манипулатор на URI, изисква взаимодействие с потребителя. Незакърпено. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1 юни 2022 г
Същото работи и за RTF файлове.
Намаляване на уязвимостта
Преди Microsoft да пусне корекция за тази уязвимост, потребителят може просто да отмени регистрацията на протокола за търсене. Ето стъпките.
- Отвори Команден ред като администратор.
- Издайте командата
reg експортиране HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Коригирайте пътя към REG, ако е необходимо. - Изпълнете командата
reg изтриване HKEY_CLASSES_ROOT\search-ms /f. Това ще изтрие записите за регистрация на протокола за търсене-ms от регистъра.
Microsoft е наясно с проблемите с протокола и е работи за поправка. Също така, добро нещо, което компанията може да направи, е да направи невъзможно стартирането на URI манипулатори в Microsoft Office без взаимодействие с потребителя.
Чрез bleepingкомпютър
Ако ви харесва тази статия, моля, споделете я, като използвате бутоните по-долу. Това няма да отнеме много от вас, но ще ни помогне да растем. Благодаря за подкрепата!
