Windows Tips & News

Ranjivost omogućuje pokretanje Windows pretraživanja iz MS Office datoteka bez interakcije korisnika

click fraud protection
PREPORUČENO: Kliknite ovdje da biste riješili probleme sa sustavom Windows i optimizirali performanse sustava

U Windows Searchu postoji nova ranjivost nultog dana koja omogućuje otvaranje krivo oblikovanog prozora za pretraživanje s izvršnim programima zlonamjernog softvera koji se nalaze na daljinu. Korisnik samo treba otvoriti posebno oblikovan Word dokument, a pretraga će se automatski otvoriti.

Oglas

U sustavu Windows aplikacije, pa čak i HTML veze mogu sadržavati reference 'search-ms' za otvaranje prilagođenih pretraživanja. Prilagođeno pretraživanje može izgledati ovako:

search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Traženje%20Sysinternals

Pokretanjem takvog retka iz dijaloškog okvira "Pokreni" (Win + R), vidjet ćete nešto poput ovoga:

The ime za prikaz varijabla definira naslov pretraživanja, i mrvica definira mjesto za traženje datoteka. Na ovaj način, Windows Search podržava traženje datoteka na udaljenim lokacijama, kao što su montirana mrežna dijeljenja, uz indeks pretraživanja pohranjen lokalno. Definiranjem prilagođenog naslova, napadač može zavarati korisnika i navesti ga da misli da traži datoteke na nekom legitimnom resursu.

Međutim, problem je natjerati korisnika da otvori takvu pretragu. Kada kliknete vezu za pretraživanje-ms recimo na web stranici, preglednik će prikazati dodatno upozorenje, tako da možete jednostavno otkazati otvaranje.

Ali u slučaju Worda, pretraživanje će se automatski otvoriti.

Novi nedostatak u Microsoft Office OLEObject omogućuje zaobilaženje zaštićenog prikaza i pokretanje rukovatelja URI protokola bez interakcije korisnika, uključujući Windows Search. Sljedeći demo od @hackerfantastic prikazuje Word dokument koji automatski otvara prozor Windows Search i povezuje se na udaljeni SMB.

Microsoft Office search-ms: iskorištavanje URI rukovatelja, zahtijeva interakciju korisnika. Nezakrpano. pic.twitter.com/iYbZNtMpnx

— hackerfantastic.crypto (@hackerfantastic) 1. lipnja 2022

Isto vrijedi i za RTF datoteke.

Ublažavanje ranjivosti

Prije nego što Microsoft objavi ispravak za ovu ranjivost, korisnik može jednostavno poništiti registraciju protokola pretraživanja. Evo koraka.

  1. Otvorena Naredbeni redak kao administrator.
  2. Izdajte naredbu reg izvoz HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Ispravite put do REG-a ako je potrebno.
  3. Izvrši naredbu reg delete HKEY_CLASSES_ROOT\search-ms /f. Ovo će izbrisati unose registracije protokola search-ms iz Registra.

Microsoft je svjestan problema s protokolom i jest radi na popravku. Također, dobra stvar koju tvrtka može učiniti je onemogućiti pokretanje URI rukovatelja u Microsoft Officeu bez interakcije s korisnikom.

Preko bleepingcomputer

PREPORUČENO: Kliknite ovdje da biste riješili probleme sa sustavom Windows i optimizirali performanse sustava

Ako vam se sviđa ovaj članak, podijelite ga pomoću gumba u nastavku. Neće vam trebati puno, ali će nam pomoći da rastemo. Hvala na podršci!

Sergej Tkačenko, autor u Winaero

Microsoft je objavio skup kumulativnih ažuriranja za podržane verzije sustava Windows 10. Kao i o...

Čitaj više

Windows 10 20H2 i 1909 doći će do kraja usluge u svibnju

Windows 10 20H2 i 1909 doći će do kraja usluge u svibnju

Microsoft podsjeća svoje potrošače i kupce da će dvije verzije sustava Windows 10, 20H2 i 1909 pr...

Čitaj više

Edge Dev 102.0.1220.1 dolazi s poboljšanjima korisničkog sučelja i uvozom zaporki na Androidu

Edge Dev 102.0.1220.1 dolazi s poboljšanjima korisničkog sučelja i uvozom zaporki na Androidu

PREPORUČENO: Kliknite ovdje da biste riješili probleme sa sustavom Windows i optimizirali perform...

Čitaj više