Eine Schwachstelle ermöglicht das Ausführen einer Windows-Suche aus MS Office-Dateien ohne Benutzerinteraktion
Es gibt eine neue Zero-Day-Schwachstelle in der Windows-Suche, die das Öffnen eines fehlerhaften Suchfensters mit remote gehosteten ausführbaren Malware-Dateien ermöglicht. Der Benutzer muss nur ein speziell gestaltetes Word-Dokument öffnen, und die Suche wird automatisch geöffnet.
Anzeige
Unter Windows können Apps und sogar HTML-Links „search-ms“-Verweise enthalten, um benutzerdefinierte Suchen zu öffnen. Eine benutzerdefinierte Suche kann wie folgt aussehen:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Suche nach %20Sysinternals
Wenn Sie eine solche Zeile aus dem Dialogfeld "Ausführen" (Win + R) ausführen, sehen Sie ungefähr Folgendes:
Das Anzeigename Variable definiert den Suchtitel und Krume definiert den Ort, an dem nach Dateien gesucht werden soll. Auf diese Weise unterstützt die Windows-Suche zusätzlich zum lokal gespeicherten Suchindex die Suche nach Dateien an Remotestandorten, z. B. bereitgestellten Netzwerkfreigaben. Durch die Definition eines benutzerdefinierten Titels kann ein Angreifer den Benutzer in die Irre führen und ihn glauben machen, er suche nach Dateien auf einer legitimen Ressource.
Es ist jedoch ein Problem, den Benutzer dazu zu bringen, eine solche Suche zu öffnen. Wenn Sie beispielsweise auf einer Webseite auf einen Search-ms-Link klicken, zeigt der Browser eine zusätzliche Warnung an, sodass Sie das Öffnen einfach abbrechen können.
Aber im Falle von Word wird die Suche automatisch geöffnet.
Ein neuer Fehler in Microsoft Office OLEObject ermöglicht das Umgehen der geschützten Ansicht und das Starten von URI-Protokollhandlern ohne Benutzerinteraktion, einschließlich der Windows-Suche. Die folgende Demo von @hackerfantastic zeigt ein Word-Dokument, das automatisch ein Windows-Suchfenster öffnet und eine Verbindung zu einem Remote-SMB herstellt.
Microsoft Office search-ms: URI-Handler-Ausnutzung, erfordert Benutzerinteraktion. Ungepatcht. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1. Juni 2022
Und das gleiche funktioniert auch für RTF-Dateien.
Schwachstellenminderung
Bevor Microsoft einen Fix für diese Schwachstelle veröffentlicht, kann der Benutzer das Suchprotokoll einfach abmelden. Hier sind die Schritte.
- Offen Eingabeaufforderung als Administrator.
- Geben Sie den Befehl aus
reg export HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Korrigieren Sie bei Bedarf den Pfad zum REG. - Führen Sie den Befehl aus
reg löschen HKEY_CLASSES_ROOT\search-ms /f. Dadurch werden die Registrierungseinträge des search-ms-Protokolls aus der Registrierung gelöscht.
Microsoft ist sich der Protokollprobleme bewusst und ist es an einer Lösung arbeiten. Außerdem kann das Unternehmen das Starten von URI-Handlern in Microsoft Office ohne Benutzerinteraktion unmöglich machen.
Über piepender Computer
Wenn Ihnen dieser Artikel gefällt, teilen Sie ihn bitte über die Schaltflächen unten. Es wird Ihnen nicht viel abverlangen, aber es wird uns helfen zu wachsen. Danke für deine Unterstützung!