Windows Tips & News

Una vulnerabilità consente di eseguire una ricerca di Windows dai file di MS Office senza l'interazione dell'utente

click fraud protection

Esiste una nuova vulnerabilità zero-day in Windows Search che consente di aprire una finestra di ricerca non corretta con eseguibili malware ospitati in remoto. L'utente deve solo aprire un documento Word appositamente formato e la ricerca si aprirà automaticamente.

Su Windows, le app e persino i collegamenti HTML possono includere riferimenti "search-ms" per aprire ricerche personalizzate. Una ricerca personalizzata può avere il seguente aspetto:

search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Ricerca%20Sysinternals

Eseguendo tale riga dalla finestra di dialogo "Esegui" (Win + R), vedrai qualcosa del genere:

Il nome da visualizzare variabile definisce il titolo della ricerca e mollica definisce la posizione in cui cercare i file. In questo modo, Windows Search supporta la ricerca di file in posizioni remote, ad esempio condivisioni di rete montate, oltre all'indice di ricerca archiviato localmente. Definendo un titolo personalizzato, un utente malintenzionato può fuorviare l'utente e fargli pensare di cercare file su una risorsa legittima.

Tuttavia, è un problema fare in modo che l'utente apra tale ricerca. Quando fai clic su un link di ricerca-ms, ad esempio su una pagina Web, il browser mostrerà un avviso aggiuntivo, quindi puoi semplicemente annullare l'apertura.

Ma nel caso di Word, la ricerca si aprirà automaticamente.

Un nuovo difetto in Microsoft Office OLEObject consente di ignorare la visualizzazione protetta e di avviare i gestori di protocollo URI senza l'interazione dell'utente, inclusa la ricerca di Windows. La seguente demo di @hackerfantastic mostra un documento Word che apre automaticamente una finestra di ricerca di Windows e si connette a una SMB remota.

Microsoft Office search-ms: sfruttamento del gestore URI, richiede l'interazione dell'utente. Senza patch. pic.twitter.com/iYbZNtMpnx

— hackerfantastic.crypto (@hackerfantastic) 1 giugno 2022

E lo stesso funziona anche per i file RTF.

Mitigazione delle vulnerabilità

Prima che Microsoft rilasci una correzione per questa vulnerabilità, l'utente può semplicemente annullare la registrazione del protocollo di ricerca. Ecco i passaggi.

  1. Aprire Prompt dei comandi come amministratore.
  2. Dai il comando reg export HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Se necessario, correggere il percorso del REG.
  3. Esegui il comando reg elimina HKEY_CLASSES_ROOT\search-ms /f. Questo cancellerà le voci di registrazione del protocollo search-ms dal registro.

Microsoft è a conoscenza dei problemi di protocollo e lo è lavorando su una soluzione. Inoltre, una buona cosa che l'azienda può fare è rendere impossibile l'avvio di gestori URI in Microsoft Office senza l'interazione dell'utente.

attraverso computer acustico

Se ti è piaciuto questo articolo, condividilo usando i pulsanti qui sotto. Non ci vorrà molto da te, ma ci aiuterà a crescere. Grazie per il vostro sostegno!

Connettiti alla VPN in Windows 10 con un clic [scorciatoia sul desktop]

Connettiti alla VPN in Windows 10 con un clic [scorciatoia sul desktop]

CONSIGLIATO: Fare clic qui per risolvere i problemi di Windows e ottimizzare le prestazioni del s...

Leggi di più

Cambia password utente in WSL Linux Distro in Windows 10

Cambia password utente in WSL Linux Distro in Windows 10

Se hai bisogno di cambiare il tuo account utente in una distribuzione WSL Linux, può essere un po...

Leggi di più

Abilita o disabilita la modalità solo HTTPS in Firefox

Abilita o disabilita la modalità solo HTTPS in Firefox

Come abilitare o disabilitare la modalità solo HTTPS in Mozilla FirefoxMozilla ha introdotto una ...

Leggi di più