Haavoittuvuus mahdollistaa Windows-haun suorittamisen MS Office -tiedostoista ilman käyttäjän toimia

Windows-haussa on uusi nollapäivän haavoittuvuus, joka mahdollistaa virheellisesti muotoillun hakuikkunan avaamisen etäisännöidyillä haittaohjelmilla. Käyttäjän tarvitsee vain avata erityisesti muodostettu Word-asiakirja, ja haku avautuu automaattisesti.

Windowsissa sovellukset ja jopa HTML-linkit voivat sisältää "search-ms"-viittauksia avoimiin mukautettuihin hakuihin. Mukautettu haku voi näyttää seuraavalta:

search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

Suorittamalla tällaisen rivin "Suorita"-valintaikkunasta (Win + R), näet jotain tällaista:

The näyttönimi muuttuja määrittää haun otsikon ja muru määrittää tiedostojen etsimispaikan. Tällä tavalla Windows-haku tukee paikallisesti tallennetun hakuhakemiston lisäksi tiedostojen etsimistä etäsijainneista, kuten liitetyistä verkko-osuuksista. Määrittämällä mukautetun otsikon hyökkääjä voi johtaa käyttäjää harhaan ja saada hänet ajattelemaan, että hän etsii tiedostoja jostain laillisesta resurssista.

On kuitenkin ongelma saada käyttäjä avaamaan tällainen haku. Kun napsautat verkkosivulla olevaa haku-ms-linkkiä, selain näyttää ylimääräisen varoituksen, joten voit yksinkertaisesti peruuttaa sen avaamisen.

Mutta Wordin tapauksessa haku avautuu automaattisesti.

Uusi virhe Microsoft Office OLEObjectissa mahdollistaa suojatun näkymän ohituksen ja URI-protokollakäsittelijöiden käynnistämisen ilman käyttäjän toimia, mukaan lukien Windows Search. Seuraava @hackerfantasticin esittely näyttää Word-asiakirjan, joka avaa automaattisesti Windows-hakuikkunan ja muodostaa yhteyden etä-SMB: hen.

Microsoft Office search-ms: URI-käsittelijän hyväksikäyttö, vaatii käyttäjän vuorovaikutusta. Korjaamaton. pic.twitter.com/iYbZNtMpnx

— hackerfantastic.crypto (@hackerfantastic) 1. kesäkuuta 2022

Ja sama toimii myös RTF-tiedostoille.

Haavoittuvuuden lieventäminen

Ennen kuin Microsoft julkaisee korjauksen tähän haavoittuvuuteen, käyttäjä voi yksinkertaisesti poistaa hakuprotokollan rekisteröinnin. Tässä ovat vaiheet.

1. Avata Komentorivi järjestelmänvalvojana.
2. Anna komento reg export HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Korjaa polku REG: iin tarvittaessa.
3. Suorita komento reg poistaa HKEY_CLASSES_ROOT\search-ms /f. Tämä poistaa haku-ms-protokollan rekisteröintimerkinnät rekisteristä.

Microsoft on tietoinen protokolla-ongelmista ja on työskentelee korjauksen eteen. Myös hyvä asia, jonka yritys voi tehdä, on tehdä mahdottomaksi URI-käsittelijöiden käynnistäminen Microsoft Officessa ilman käyttäjän toimia.

Kautta piippaava tietokone