En sårbarhed gør det muligt at køre en Windows-søgning fra MS Office-filer uden brugerinteraktion
Der er en ny nul-dages sårbarhed i Windows Search, der gør det muligt at åbne et forkert udformet søgevindue med eksternt hostede malware-eksekverbare programmer. Brugeren behøver kun at åbne et specielt udformet Word-dokument, og søgningen åbnes automatisk.
På Windows kan apps og endda HTML-links indeholde 'search-ms'-referencer for at åbne tilpassede søgninger. En tilpasset søgning kan se ud som følger:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
Ved at køre sådan en linje fra "Kør"-dialogen (Win + R), vil du se noget som dette:
Det visningsnavn variabel definerer søgetitlen, og krumme definerer placeringen for at søge efter filer. På denne måde understøtter Windows Search søgning efter filer på fjernplaceringer, såsom monterede netværksshares, ud over søgeindekset, der er gemt lokalt. Ved at definere en brugerdefineret titel kan en angriber vildlede brugeren og få ham til at tro, at han søger efter filer på en legitim ressource.
Det er dog et problem at få brugeren til at åbne en sådan søgning. Når du klikker på et søge-ms-link på en webside, vil browseren vise en ekstra advarsel, så du blot kan annullere åbningen af den.
Men i tilfælde af Word, åbnes søgningen automatisk.
En ny fejl i Microsoft Office OLEObject gør det muligt at omgå Protected View og starte URI-protokolbehandlere uden brugerinteraktion, inklusive Windows Search. Den følgende demo af @hackerfantastic viser et Word-dokument, der automatisk åbner et Windows-søgevindue og forbinder til en ekstern SMB.
Microsoft Office search-ms: URI-handlerudnyttelse, kræver brugerinteraktion. Ikke-patchet. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1. juni 2022
Og det samme virker også for RTF-filer.
Reduktion af sårbarhed
Før Microsoft frigiver en rettelse til denne sårbarhed, kan brugeren blot afregistrere søgeprotokollen. Her er trinene.
- Åben Kommandoprompt som administrator.
- Udsend kommandoen
reg eksport HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Ret om nødvendigt stien til REG. - Udfør kommandoen
reg slet HKEY_CLASSES_ROOT\search-ms /f. Dette vil slette søge-ms protokolregistreringsposterne fra registreringsdatabasen.
Microsoft er opmærksom på protokolproblemerne og er det arbejder på en rettelse. En god ting, virksomheden kan gøre, er også at gøre det umuligt at starte URI-handlere i Microsoft Office uden brugerinteraktion.
Via bipper computer
Hvis du kan lide denne artikel, så del den ved hjælp af knapperne nedenfor. Det vil ikke tage meget fra dig, men det vil hjælpe os med at vokse. Tak for din støtte!
