פגיעות מאפשרת להפעיל חיפוש Windows מקבצי MS Office ללא אינטראקציה של המשתמש
קיימת פגיעות חדשה של יום אפס ב-Windows Search המאפשרת פתיחת חלון חיפוש פגום עם קובצי הפעלה של תוכנות זדוניות המתארחות מרחוק. המשתמש צריך רק לפתוח מסמך Word שנוצר במיוחד, והחיפוש ייפתח אוטומטית.
ב-Windows, אפליקציות ואפילו קישורי HTML עשויים לכלול הפניות 'search-ms' לפתיחת חיפושים מותאמים אישית. חיפוש מותאם אישית עשוי להיראות כך:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
על ידי הפעלת שורה כזו מתיבת הדו-שיח "הפעלה" (Win + R), תראה משהו כזה:
ה הצג שם משתנה מגדיר את כותרת החיפוש, ו פֵּרוּר מגדיר את המיקום לחיפוש קבצים. בדרך זו, Windows Search תומך בחיפוש אחר קבצים במיקומים מרוחקים, כגון שיתופי רשת רכובים, בנוסף לאינדקס החיפוש המאוחסן באופן מקומי. על ידי הגדרת כותרת מותאמת אישית, תוקף עלול להטעות את המשתמש ולגרום לו לחשוב שהוא מחפש קבצים במשאב לגיטימי כלשהו.
עם זאת, זו בעיה לגרום למשתמש לפתוח חיפוש כזה. כאשר אתה לוחץ על קישור חיפוש-ms לומר בדף אינטרנט, הדפדפן יציג אזהרה נוספת, כך שתוכל פשוט לבטל את פתיחתו.
אבל במקרה של Word, החיפוש ייפתח אוטומטית.
פגם חדש ב-Microsoft Office OLEObject מאפשר לעקוף את Protected View ולהפעיל מטפלי פרוטוקול URI ללא אינטראקציה עם המשתמש, כולל חיפוש Windows. ההדגמה הבאה מאת @hackerfantastic מציגה מסמך Word שפותח אוטומטית חלון חיפוש של Windows ומתחבר ל-SMB מרוחק.
Microsoft Office search-ms: ניצול של מטפל URI, דורש אינטראקציה של משתמש. לא תוקן. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1 ביוני 2022
וזה עובד גם עבור קבצי RTF.
הפחתת פגיעות
לפני שמיקרוסופט משחררת תיקון לפגיעות זו, המשתמש יכול פשוט לבטל את הרישום של פרוטוקול החיפוש. להלן השלבים.
- לִפְתוֹחַ שורת הפקודה כמנהל.
- תוציא את הפקודה
ייצוא reg HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". תקן את הנתיב ל-REG במידת הצורך. - בצע את הפקודה
reg מחק HKEY_CLASSES_ROOT\search-ms /f. פעולה זו תמחק את ערכי הרישום של פרוטוקול search-ms מהרישום.
מיקרוסופט מודעת לבעיות הפרוטוקול והיא מודעת לכך עובד על תיקון. כמו כן, דבר טוב שהחברה יכולה לעשות הוא לא להפעיל מטפלי URI ב-Microsoft Office ללא אינטראקציה עם המשתמש.
באמצעות מחשב מצמץ
אם אתה אוהב את המאמר הזה, אנא שתף אותו באמצעות הכפתורים למטה. זה לא ייקח ממך הרבה, אבל זה יעזור לנו לצמוח. תודה על תמיכתך!
