A biztonsági rés lehetővé teszi a Windows-keresés futtatását MS Office-fájlokból felhasználói beavatkozás nélkül
A Windows Search új nulladik napi sebezhetősége lehetővé teszi egy hibásan formázott keresési ablak megnyitását távolról tárolt rosszindulatú programok futtatható fájljaival. A felhasználónak csak egy speciálisan kialakított Word dokumentumot kell megnyitnia, és a keresés automatikusan megnyílik.
Windows rendszeren az alkalmazások és még a HTML hivatkozások is tartalmazhatnak „search-ms” hivatkozásokat az egyéni keresések megnyitásához. Az egyéni keresés a következőképpen nézhet ki:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
Ha egy ilyen sort futtat a "Futtatás" párbeszédpanelen (Win + R), valami ilyesmit fog látni:
Az megjelenítendő név változó határozza meg a keresés címét, és morzsa meghatározza a fájlok keresésének helyét. Ily módon a Windows Search támogatja a fájlok távoli helyeken, például csatlakoztatott hálózati megosztásokon való keresését a helyileg tárolt keresési index mellett. Egyéni cím megadásával a támadó félrevezetheti a felhasználót, és azt hiheti, hogy valamilyen legitim erőforráson keres fájlokat.
Probléma azonban, hogy a felhasználót rávegye egy ilyen keresés megnyitására. Ha rákattint egy kereső-ms hivatkozásra mondjuk egy weboldalon, a böngésző extra figyelmeztetést jelenít meg, így egyszerűen megszakíthatja a megnyitását.
De Word esetén a keresés automatikusan megnyílik.
A Microsoft Office OLEObject új hibája lehetővé teszi a védett nézet megkerülését és az URI-protokollkezelők – köztük a Windows Search – felhasználói beavatkozás nélküli elindítását. A @hackerfantastic következő bemutatója egy Word-dokumentumot mutat be, amely automatikusan megnyit egy Windows Search ablakot, és csatlakozik egy távoli SMB-hez.
Microsoft Office search-ms: URI-kezelő kihasználása, felhasználói interakciót igényel. Foltozatlan. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 2022. június 1
És ugyanez működik az RTF fájloknál is.
Sebezhetőség csökkentése
Mielőtt a Microsoft kiadná a biztonsági rés javítását, a felhasználó egyszerűen törölheti a keresési protokoll regisztrációját. Itt vannak a lépések.
- Nyisd ki Parancssor rendszergazdaként.
- Adja ki a parancsot
reg export HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Ha szükséges, javítsa ki a REG elérési útját. - Hajtsa végre a parancsot
reg törlése HKEY_CLASSES_ROOT\search-ms /f. Ezzel törli a keresési ms protokoll regisztrációs bejegyzéseit a rendszerleíró adatbázisból.
A Microsoft tisztában van a protokollproblémákkal, és az is dolgozik a javításon. Ezenkívül jó dolog, amit a vállalat tehet, hogy lehetetlenné teszi az URI-kezelők elindítását a Microsoft Office-ban felhasználói beavatkozás nélkül.
Keresztül csipogó számítógép
Ha tetszett a cikk, kérjük, ossza meg az alábbi gombok segítségével. Tőled nem fog sokat várni, de segíteni fog nekünk a növekedésben. Köszönöm a támogatásodat!
