Ranjivost omogućuje pokretanje Windows pretraživanja iz MS Office datoteka bez interakcije korisnika
U Windows Searchu postoji nova ranjivost nultog dana koja omogućuje otvaranje krivo oblikovanog prozora za pretraživanje s izvršnim programima zlonamjernog softvera koji se nalaze na daljinu. Korisnik samo treba otvoriti posebno oblikovan Word dokument, a pretraga će se automatski otvoriti.
U sustavu Windows aplikacije, pa čak i HTML veze mogu sadržavati reference 'search-ms' za otvaranje prilagođenih pretraživanja. Prilagođeno pretraživanje može izgledati ovako:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Traženje%20Sysinternals
Pokretanjem takvog retka iz dijaloškog okvira "Pokreni" (Win + R), vidjet ćete nešto poput ovoga:
The ime za prikaz varijabla definira naslov pretraživanja, i mrvica definira mjesto za traženje datoteka. Na ovaj način, Windows Search podržava traženje datoteka na udaljenim lokacijama, kao što su montirani mrežni dionici, uz lokalno pohranjen indeks pretraživanja. Definiranjem prilagođenog naslova, napadač može zavarati korisnika i navesti ga da misli da traži datoteke na nekom legitimnom resursu.
Međutim, problem je natjerati korisnika da otvori takvu pretragu. Kada kliknete vezu za pretraživanje-ms recimo na web stranici, preglednik će prikazati dodatno upozorenje, tako da možete jednostavno otkazati otvaranje.
Ali u slučaju Worda, pretraživanje će se automatski otvoriti.
Novi nedostatak u Microsoft Office OLEObject omogućuje zaobilaženje zaštićenog prikaza i pokretanje rukovatelja URI protokola bez interakcije korisnika, uključujući Windows Search. Sljedeći demo od @hackerfantastic prikazuje Word dokument koji automatski otvara prozor Windows Search i povezuje se na udaljeni SMB.
Microsoft Office search-ms: iskorištavanje URI rukovatelja, zahtijeva interakciju korisnika. Nezakrpano. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1. lipnja 2022
Isto vrijedi i za RTF datoteke.
Ublažavanje ranjivosti
Prije nego što Microsoft objavi ispravak za ovu ranjivost, korisnik može jednostavno poništiti registraciju protokola pretraživanja. Evo koraka.
- Otvorena Naredbeni redak kao administrator.
- Izdajte naredbu
reg izvoz HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Ispravite put do REG-a ako je potrebno. - Izvrši naredbu
reg delete HKEY_CLASSES_ROOT\search-ms /f. Ovo će izbrisati unose registracije protokola search-ms iz Registra.
Microsoft je svjestan problema s protokolom i jest radi na popravku. Također, dobra stvar koju tvrtka može učiniti je onemogućiti pokretanje URI rukovatelja u Microsoft Officeu bez interakcije s korisnikom.
Preko bleepingcomputer
Ako vam se sviđa ovaj članak, podijelite ga pomoću gumba u nastavku. Neće vam trebati puno, ali će nam pomoći da rastemo. Hvala na podršci!
