Chyba zabezpečení umožňuje spuštění vyhledávání ve Windows ze souborů MS Office bez interakce uživatele

Ve Windows Search je nová zranitelnost zero-day, která umožňuje otevřít chybně vytvořené okno vyhledávání se vzdáleně hostovanými spustitelnými soubory malwaru. Uživateli stačí otevřít speciálně vytvořený dokument aplikace Word a vyhledávání se automaticky otevře.

V systému Windows mohou aplikace a dokonce odkazy HTML obsahovat odkazy „search-ms“ pro otevření vlastních vyhledávání. Vlastní vyhledávání může vypadat následovně:

search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Hledám%20Sysinternals

Spuštěním takového řádku z dialogu "Spustit" (Win + R) uvidíte něco takového:

The zobrazované jméno proměnná definuje název vyhledávání a drobek definuje umístění pro hledání souborů. Tímto způsobem Windows Search podporuje hledání souborů ve vzdálených umístěních, jako jsou připojené síťové sdílené položky, kromě lokálně uloženého indexu vyhledávání. Definováním vlastního názvu může útočník uvést uživatele v omyl a přimět ho, aby si myslel, že hledá soubory na nějakém legitimním zdroji.

Je však problém přimět uživatele, aby takové vyhledávání otevřel. Když kliknete na odkaz search-ms řekněme na webové stránce, prohlížeč zobrazí další varování, takže můžete jeho otevírání jednoduše zrušit.

Ale v případě Wordu se vyhledávání otevře automaticky.

Nová chyba v Microsoft Office OLEObject umožňuje obejít chráněné zobrazení a spouštět obslužné rutiny protokolu URI bez interakce uživatele, včetně Windows Search. Následující ukázka od @hackerfantastic ukazuje dokument aplikace Word, který automaticky otevře okno Windows Search a připojí se ke vzdálenému SMB.

Microsoft Office search-ms: Využití obslužné rutiny URI, vyžaduje interakci uživatele. Nepatchováno. pic.twitter.com/iYbZNtMpnx

— hackerfantastic.crypto (@hackerfantastic) 1. června 2022

A totéž platí pro soubory RTF.

Zmírnění zranitelnosti

Než společnost Microsoft vydá opravu této chyby zabezpečení, může uživatel jednoduše zrušit registraci vyhledávacího protokolu. Zde jsou kroky.

1. OTEVŘENO Příkazový řádek jako správce.
2. Vydejte příkaz reg export HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". V případě potřeby opravte cestu k REG.
3. Proveďte příkaz reg delete HKEY_CLASSES_ROOT\search-ms /f. Tím se vymažou položky registrace protokolu search-ms z registru.

Microsoft si je vědom problémů s protokolem a je pracuje na nápravě. Dobrá věc, kterou může společnost udělat, je také znemožnit spouštění ovladačů URI v Microsoft Office bez interakce uživatele.

Přes pípající počítač