Windows Tips & News

Ranjivost omogućuje pokretanje Windows pretraživanja iz MS Office datoteka bez interakcije korisnika

click fraud protection

U Windows Searchu postoji nova ranjivost nultog dana koja omogućuje otvaranje krivo oblikovanog prozora za pretraživanje s izvršnim programima zlonamjernog softvera koji se nalaze na daljinu. Korisnik samo treba otvoriti posebno oblikovan Word dokument, a pretraga će se automatski otvoriti.

U sustavu Windows aplikacije, pa čak i HTML veze mogu sadržavati reference 'search-ms' za otvaranje prilagođenih pretraživanja. Prilagođeno pretraživanje može izgledati ovako:

search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Traženje%20Sysinternals

Pokretanjem takvog retka iz dijaloškog okvira "Pokreni" (Win + R), vidjet ćete nešto poput ovoga:

The ime za prikaz varijabla definira naslov pretraživanja, i mrvica definira mjesto za traženje datoteka. Na ovaj način, Windows Search podržava traženje datoteka na udaljenim lokacijama, kao što su montirani mrežni dionici, uz lokalno pohranjen indeks pretraživanja. Definiranjem prilagođenog naslova, napadač može zavarati korisnika i navesti ga da misli da traži datoteke na nekom legitimnom resursu.

Međutim, problem je natjerati korisnika da otvori takvu pretragu. Kada kliknete vezu za pretraživanje-ms recimo na web stranici, preglednik će prikazati dodatno upozorenje, tako da možete jednostavno otkazati otvaranje.

Ali u slučaju Worda, pretraživanje će se automatski otvoriti.

Novi nedostatak u Microsoft Office OLEObject omogućuje zaobilaženje zaštićenog prikaza i pokretanje rukovatelja URI protokola bez interakcije korisnika, uključujući Windows Search. Sljedeći demo od @hackerfantastic prikazuje Word dokument koji automatski otvara prozor Windows Search i povezuje se na udaljeni SMB.

Microsoft Office search-ms: iskorištavanje URI rukovatelja, zahtijeva interakciju korisnika. Nezakrpano. pic.twitter.com/iYbZNtMpnx

— hackerfantastic.crypto (@hackerfantastic) 1. lipnja 2022

Isto vrijedi i za RTF datoteke.

Ublažavanje ranjivosti

Prije nego što Microsoft objavi ispravak za ovu ranjivost, korisnik može jednostavno poništiti registraciju protokola pretraživanja. Evo koraka.

  1. Otvorena Naredbeni redak kao administrator.
  2. Izdajte naredbu reg izvoz HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Ispravite put do REG-a ako je potrebno.
  3. Izvrši naredbu reg delete HKEY_CLASSES_ROOT\search-ms /f. Ovo će izbrisati unose registracije protokola search-ms iz Registra.

Microsoft je svjestan problema s protokolom i jest radi na popravku. Također, dobra stvar koju tvrtka može učiniti je onemogućiti pokretanje URI rukovatelja u Microsoft Officeu bez interakcije s korisnikom.

Preko bleepingcomputer

Ako vam se sviđa ovaj članak, podijelite ga pomoću gumba u nastavku. Neće vam trebati puno, ali će nam pomoći da rastemo. Hvala na podršci!

Office za Windows sada podržava diktiranje na sedam novih jezika

Office za Windows sada podržava diktiranje na sedam novih jezika

Microsoft je najavio ažuriranje za ugrađeni mehanizam za diktiranje u Officeu za Windows. S nadol...

Čitaj više

Microsoft počinje uvoditi novi izbornik Extensions za Edge Insiders

Microsoft počinje uvoditi novi izbornik Extensions za Edge Insiders

Kad god instalirate novo proširenje u Microsoft Edge, preglednik dodaje malu ikonu na alatnu trak...

Čitaj više

Oslobodite prostor na disku nakon instalacije Windows 10 Spring Creators Update

Oslobodite prostor na disku nakon instalacije Windows 10 Spring Creators Update

Ako ste instalirali Windows 10 verziju 1803 "Spring Creators Update" na prethodnu verziju sustava...

Čitaj više