Una vulnerabilità consente di eseguire una ricerca di Windows dai file di MS Office senza l'interazione dell'utente
Esiste una nuova vulnerabilità zero-day in Windows Search che consente di aprire una finestra di ricerca non corretta con eseguibili malware ospitati in remoto. L'utente deve solo aprire un documento Word appositamente formato e la ricerca si aprirà automaticamente.
Su Windows, le app e persino i collegamenti HTML possono includere riferimenti "search-ms" per aprire ricerche personalizzate. Una ricerca personalizzata può avere il seguente aspetto:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Ricerca%20Sysinternals
Eseguendo tale riga dalla finestra di dialogo "Esegui" (Win + R), vedrai qualcosa del genere:
Il nome da visualizzare variabile definisce il titolo della ricerca e mollica definisce la posizione in cui cercare i file. In questo modo, Windows Search supporta la ricerca di file in posizioni remote, ad esempio condivisioni di rete montate, oltre all'indice di ricerca archiviato localmente. Definendo un titolo personalizzato, un utente malintenzionato può fuorviare l'utente e fargli pensare di cercare file su una risorsa legittima.
Tuttavia, è un problema fare in modo che l'utente apra tale ricerca. Quando fai clic su un link di ricerca-ms, ad esempio su una pagina Web, il browser mostrerà un avviso aggiuntivo, quindi puoi semplicemente annullare l'apertura.
Ma nel caso di Word, la ricerca si aprirà automaticamente.
Un nuovo difetto in Microsoft Office OLEObject consente di ignorare la visualizzazione protetta e di avviare i gestori di protocollo URI senza l'interazione dell'utente, inclusa la ricerca di Windows. La seguente demo di @hackerfantastic mostra un documento Word che apre automaticamente una finestra di ricerca di Windows e si connette a una SMB remota.
Microsoft Office search-ms: sfruttamento del gestore URI, richiede l'interazione dell'utente. Senza patch. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1 giugno 2022
E lo stesso funziona anche per i file RTF.
Mitigazione delle vulnerabilità
Prima che Microsoft rilasci una correzione per questa vulnerabilità, l'utente può semplicemente annullare la registrazione del protocollo di ricerca. Ecco i passaggi.
- Aprire Prompt dei comandi come amministratore.
- Dai il comando
reg export HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Se necessario, correggere il percorso del REG. - Esegui il comando
reg elimina HKEY_CLASSES_ROOT\search-ms /f. Questo cancellerà le voci di registrazione del protocollo search-ms dal registro.
Microsoft è a conoscenza dei problemi di protocollo e lo è lavorando su una soluzione. Inoltre, una buona cosa che l'azienda può fare è rendere impossibile l'avvio di gestori URI in Microsoft Office senza l'interazione dell'utente.
attraverso computer acustico
Se ti è piaciuto questo articolo, condividilo usando i pulsanti qui sotto. Non ci vorrà molto da te, ma ci aiuterà a crescere. Grazie per il vostro sostegno!