Kerentanan memungkinkan menjalankan pencarian Windows dari file MS Office tanpa interaksi pengguna
Ada kerentanan zero-day baru di Pencarian Windows yang memungkinkan membuka jendela pencarian yang salah dengan executable malware yang di-host dari jarak jauh. Pengguna hanya perlu membuka dokumen Word yang dibentuk khusus, dan pencarian akan terbuka secara otomatis.
Di Windows, aplikasi dan bahkan tautan HTML mungkin menyertakan referensi 'search-ms' untuk membuka pencarian khusus. Pencarian khusus mungkin terlihat sebagai berikut:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
Dengan menjalankan baris seperti itu dari dialog "Jalankan" (Menang + R), Anda akan melihat sesuatu seperti ini:
Itu nama tampilan variabel mendefinisikan judul pencarian, dan remah menentukan lokasi untuk mencari file. Dengan cara ini, Pencarian Windows mendukung pencarian file di lokasi yang jauh, seperti berbagi jaringan yang dipasang, selain indeks pencarian yang disimpan secara lokal. Dengan menentukan judul khusus, penyerang dapat menyesatkan pengguna dan membuatnya berpikir bahwa dia sedang mencari file di beberapa sumber yang sah.
Namun, itu adalah masalah untuk membuat pengguna membuka pencarian seperti itu. Saat Anda mengklik tautan pencarian-ms katakanlah di halaman web, browser akan menampilkan peringatan tambahan, jadi Anda bisa membatalkan pembukaannya.
Tetapi dalam kasus Word, pencarian akan terbuka secara otomatis.
Kelemahan baru di Microsoft Office OLEObject memungkinkan melewati Tampilan Terproteksi dan meluncurkan penangan protokol URI tanpa interaksi pengguna, termasuk Pencarian Windows. Demo berikut oleh @hackerfantastic menunjukkan dokumen Word yang secara otomatis membuka jendela Pencarian Windows dan terhubung ke SMB jarak jauh.
Pencarian Microsoft Office-ms: Eksploitasi pengendali URI, memerlukan interaksi pengguna. Belum ditambal. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1 Juni 2022
Dan hal yang sama juga berlaku untuk file RTF.
Mitigasi Kerentanan
Sebelum Microsoft merilis perbaikan untuk kerentanan ini, pengguna cukup membatalkan pendaftaran protokol pencarian. Berikut langkah-langkahnya.
- Membuka Command Prompt sebagai Administrator.
- Keluarkan perintah
reg ekspor HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Perbaiki jalur ke REG jika diperlukan. - Jalankan perintah
reg hapus HKEY_CLASSES_ROOT\search-ms /f. Ini akan menghapus entri pendaftaran protokol search-ms dari Registry.
Microsoft menyadari masalah protokol dan bekerja untuk memperbaiki. Selain itu, hal baik yang dapat dilakukan perusahaan adalah membuat penangan URI tidak mungkin diluncurkan di Microsoft Office tanpa interaksi pengguna.
Melalui komputer bleeping
Jika Anda menyukai artikel ini, silakan bagikan melalui tombol di bawah ini. Ini tidak akan membutuhkan banyak dari Anda, tetapi itu akan membantu kami tumbuh. Terima kasih atas dukunganmu!