脆弱性により、ユーザーの操作なしでMSOfficeファイルからWindows検索を実行できます

Windows Searchには新しいゼロデイ脆弱性があり、リモートでホストされているマルウェアの実行可能ファイルで不正な形式の検索ウィンドウを開くことができます。 ユーザーは特別に作成されたWord文書を開くだけで、検索が自動的に開きます。

Windowsでは、アプリやHTMLリンクに、カスタム検索を開くための「search-ms」参照が含まれている場合があります。 カスタム検索は次のようになります。

search-ms：query = proc＆crumb = location：％5C％5Clive.sysinternals.com＆displayname = Searching％20Sysinternals

[実行]ダイアログ（Win + R）からこのような行を実行すると、次のように表示されます。

ザ 表示名 変数は検索タイトルを定義し、 クラム ファイルを検索する場所を定義します。 このように、Windows Searchは、ローカルに保存されている検索インデックスに加えて、マウントされたネットワーク共有などのリモートロケーションでのファイルの検索をサポートします。 カスタムタイトルを定義することにより、攻撃者はユーザーを誤解させ、正当なリソースでファイルを検索していると思わせる可能性があります。

ただし、ユーザーにそのような検索を開かせることは問題です。 Webページでsearch-msリンクをクリックすると、ブラウザに追加の警告が表示されるので、ブラウザを開くのをキャンセルするだけです。

ただし、Wordの場合、検索は自動的に開きます。

Microsoft Office OLEObjectの新しい欠陥により、Windows Searchなどのユーザーの操作なしで、保護されたビューをバイパスしてURIプロトコルハンドラーを起動できます。 次の@hackerfantasticのデモは、Windows Searchウィンドウを自動的に開き、リモートSMBに接続するWord文書を示しています。

Microsoft Office search-ms：URIハンドラーの悪用、ユーザーの操作が必要です。 パッチが適用されていません。 pic.twitter.com/iYbZNtMpnx

— hackerfantastic.crypto（@hackerfantastic） 2022年6月1日

また、RTFファイルでも同じことが機能します。

脆弱性の軽減

Microsoftがこの脆弱性の修正をリリースする前に、ユーザーは検索プロトコルの登録を解除するだけです。 手順は次のとおりです。

1. 開ける 管理者としてのコマンドプロンプト.
2. コマンドを発行します reg export HKEY_CLASSES_ROOT \ search-ms "％userprofile％\ Desktop \ search-ms.reg". 必要に応じて、REGへのパスを修正します。
3. コマンドを実行します reg delete HKEY_CLASSES_ROOT \ search-ms / f. これにより、search-msプロトコル登録エントリがレジストリから削除されます。

Microsoftはプロトコルの問題を認識しており、 修正に取り組んでいます. また、会社ができる良いことは、ユーザーの操作なしにMicrosoftOfficeでURIハンドラーを起動できないようにすることです。

経由 bleepingcomputer