Une vulnérabilité permet d'exécuter une recherche Windows à partir de fichiers MS Office sans interaction de l'utilisateur
Il existe une nouvelle vulnérabilité zero-day dans Windows Search qui permet d'ouvrir une fenêtre de recherche malformée avec des exécutables de logiciels malveillants hébergés à distance. L'utilisateur n'a qu'à ouvrir un document Word spécialement formé, et la recherche s'ouvrira automatiquement.
Sous Windows, les applications et même les liens HTML peuvent inclure des références "search-ms" pour ouvrir des recherches personnalisées. Une recherche personnalisée peut ressembler à ceci :
search-ms: query=proc&crumb=location: %5C%5Clive.sysinternals.com&displayname=Recherche%20Sysinternals
En exécutant une telle ligne depuis la boîte de dialogue "Exécuter" (Win + R), vous verrez quelque chose comme ceci :
La Afficher un nom variable définit le titre de la recherche, et miette définit l'emplacement de recherche des fichiers. De cette façon, Windows Search prend en charge la recherche de fichiers sur des emplacements distants, tels que des partages réseau montés, en plus de l'index de recherche stocké localement. En définissant un titre personnalisé, un attaquant peut tromper l'utilisateur et lui faire croire qu'il recherche des fichiers sur une ressource légitime.
Cependant, il est difficile d'inciter l'utilisateur à ouvrir une telle recherche. Lorsque vous cliquez sur un lien search-ms, par exemple sur une page Web, le navigateur affiche un avertissement supplémentaire, vous pouvez donc simplement annuler son ouverture.
Mais dans le cas de Word, la recherche s'ouvrira automatiquement.
Une nouvelle faille dans Microsoft Office OLEObject permet de contourner la vue protégée et de lancer des gestionnaires de protocole URI sans interaction de l'utilisateur, y compris Windows Search. La démo suivante de @hackerfantastic montre un document Word qui ouvre automatiquement une fenêtre de recherche Windows et se connecte à une SMB distante.
Microsoft Office search-ms: exploitation du gestionnaire d'URI, nécessite une interaction de l'utilisateur. Non patché. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1 juin 2022
Et la même chose fonctionne également pour les fichiers RTF.
Atténuation de la vulnérabilité
Avant que Microsoft ne publie un correctif pour cette vulnérabilité, l'utilisateur peut simplement désinscrire le protocole de recherche. Voici les étapes.
- Ouvert Invite de commande en tant qu'administrateur.
- Émettez la commande
reg export HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Corrigez le chemin vers le REG si nécessaire. - Exécutez la commande
reg supprimer HKEY_CLASSES_ROOT\search-ms /f. Cela supprimera les entrées d'enregistrement du protocole search-ms du registre.
Microsoft est conscient des problèmes de protocole et est travailler sur un correctif. En outre, une bonne chose que l'entreprise peut faire est de rendre impossible le lancement de gestionnaires d'URI dans Microsoft Office sans interaction de l'utilisateur.
Passant par ordinateur qui bipe
Si vous aimez cet article, partagez-le en utilisant les boutons ci-dessous. Cela ne vous demandera pas grand-chose, mais cela nous aidera à grandir. Merci pour votre aide!
