Haavatavus võimaldab käivitada Windowsi otsingu MS Office'i failidest ilma kasutaja sekkumiseta
Windows Searchis on uus nullpäeva haavatavus, mis võimaldab avada valesti vormindatud otsinguakna kaughostitud pahavara käivitatavate failidega. Kasutajal tuleb avada vaid spetsiaalselt moodustatud Wordi dokument ja otsing avaneb automaatselt.
Windowsis võivad rakendused ja isegi HTML-lingid sisaldada kohandatud otsingute avamiseks viiteid „search-ms”. Kohandatud otsing võib välja näha järgmine:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
Kui käivitate sellise rea dialoogiaknas "Käivita" (Win + R), näete midagi sellist:
The kuvatav nimi muutuja määrab otsingu pealkirja ja puru määrab failide otsimise asukoha. Nii toetab Windows Search lisaks lokaalselt salvestatud otsinguindeksile failide otsimist ka kaugematest asukohtadest, näiteks ühendatud võrgujagamistest. Kohandatud pealkirja määratlemisega võib ründaja kasutajat eksitada ja panna teda arvama, et otsib faile mõnest seaduslikust ressursist.
Siiski on probleem panna kasutaja sellist otsingut avama. Kui klõpsate veebilehel otsingu-ms-lingil, kuvab brauser lisahoiatuse, nii et saate selle avamise lihtsalt tühistada.
Kuid Wordi puhul avaneb otsing automaatselt.
Microsoft Office OLEObjecti uus viga võimaldab kaitstud vaatest mööda minna ja käivitada URI-protokolli töötlejad ilma kasutaja sekkumiseta, sealhulgas Windows Search. Järgmine @hackerfantasticu demo näitab Wordi dokumenti, mis avab automaatselt Windowsi otsingu akna ja loob ühenduse kaug-SMB-ga.
Microsoft Office'i otsing-ms: URI töötleja kasutamine, nõuab kasutajapoolset suhtlemist. Paigaldamata. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1. juuni 2022
Ja sama kehtib ka RTF-failide puhul.
Haavatavuse leevendamine
Enne kui Microsoft selle haavatavuse jaoks paranduse välja annab, saab kasutaja lihtsalt otsinguprotokolli registreerimise tühistada. Siin on sammud.
- Avatud Käsuviip administraatorina.
- Andke käsk välja
reg eksportida HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Vajadusel parandage REG-i tee. - Täitke käsk
reg kustutada HKEY_CLASSES_ROOT\search-ms /f. See kustutab registrist otsingu-ms-protokolli registreerimiskirjed.
Microsoft on protokolliprobleemidest teadlik ja on paranduse kallal töötamine. Hea asi, mida ettevõte saab teha, on teha võimatuks URI-käitlejate käivitamine Microsoft Office'is ilma kasutaja sekkumiseta.
Via piiksuv arvuti
Kui teile see artikkel meeldib, jagage seda allolevate nuppude abil. See ei võta teilt palju, kuid aitab meil kasvada. Tänan toetuse eest!
