Una vulnerabilidad permite ejecutar una búsqueda de Windows desde archivos de MS Office sin interacción del usuario
Hay una nueva vulnerabilidad de día cero en Windows Search que permite abrir una ventana de búsqueda mal formada con ejecutables de malware alojados de forma remota. El usuario solo necesita abrir un documento de Word especialmente formado y la búsqueda se abrirá automáticamente.
En Windows, las aplicaciones e incluso los enlaces HTML pueden incluir referencias 'search-ms' para abrir búsquedas personalizadas. Una búsqueda personalizada puede tener el siguiente aspecto:
search-ms: consulta=proc&crumb=ubicación:%5C%5Clive.sysinternals.com&displayname=Buscando%20Sysinternals
Al ejecutar dicha línea desde el cuadro de diálogo "Ejecutar" (Win + R), verá algo como esto:
los nombre para mostrar variable define el título de la búsqueda, y miga define la ubicación para buscar archivos. De esta manera, Windows Search admite la búsqueda de archivos en ubicaciones remotas, como recursos compartidos de red montados, además del índice de búsqueda almacenado localmente. Al definir un título personalizado, un atacante puede engañar al usuario y hacerle creer que está buscando archivos en algún recurso legítimo.
Sin embargo, es un problema hacer que el usuario abra dicha búsqueda. Cuando hace clic en un enlace de búsqueda-ms, digamos en una página web, el navegador mostrará una advertencia adicional, por lo que simplemente puede cancelar la apertura.
Pero en el caso de Word, la búsqueda se abrirá automáticamente.
Una nueva falla en Microsoft Office OLEObject permite omitir la Vista protegida e iniciar controladores de protocolo URI sin interacción del usuario, incluida la Búsqueda de Windows. La siguiente demostración de @hackerfantastic muestra un documento de Word que abre automáticamente una ventana de búsqueda de Windows y se conecta a un SMB remoto.
Microsoft Office search-ms: explotación del controlador de URI, requiere la interacción del usuario. Sin parchear pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1 de junio de 2022
Y lo mismo funciona para los archivos RTF también.
Mitigación de vulnerabilidades
Antes de que Microsoft publique una solución para esta vulnerabilidad, el usuario simplemente puede anular el registro del protocolo de búsqueda. Aquí están los pasos.
- Abierto Símbolo del sistema como administrador.
- Emitir el comando
registro exportar HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Corrija la ruta al REG si es necesario. - Ejecutar el comando
reg borrar HKEY_CLASSES_ROOT\search-ms /f. Esto eliminará las entradas de registro del protocolo search-ms del Registro.
Microsoft es consciente de los problemas de protocolo y está trabajando en una solución. Además, algo bueno que puede hacer la empresa es hacer imposible el lanzamiento de controladores de URI en Microsoft Office sin la interacción del usuario.
A través de pitidocomputadora
Si te gusta este artículo, por favor compártelo usando los botones de abajo. No te costará mucho, pero nos ayudará a crecer. ¡Gracias por su apoyo!
