დაუცველობა იძლევა Windows-ის ძიების გაშვებას MS Office ფაილებიდან მომხმარებლის ურთიერთქმედების გარეშე
Windows Search-ში არის ახალი ნულოვანი დღის დაუცველობა, რომელიც საშუალებას გაძლევთ გახსნათ არასწორი ძიების ფანჯარა დისტანციურად განთავსებული მავნე პროგრამის შემსრულებლობით. მომხმარებელს მხოლოდ სპეციალურად შექმნილი Word დოკუმენტის გახსნა სჭირდება და ძებნა ავტომატურად გაიხსნება.
რეკლამა
Windows-ზე აპები და თუნდაც HTML ბმულები შეიძლება შეიცავდეს 'search-ms' მითითებებს მორგებული ძიებების გასახსნელად. მორგებული ძებნა შეიძლება ასე გამოიყურებოდეს:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=ძებნა%20Sysinternals
ასეთი ხაზის გაშვებით "Run" დიალოგიდან (Win + R) დაინახავთ მსგავს რამეს:
The ჩვენების სახელი ცვლადი განსაზღვრავს საძიებო სათაურს და crumb განსაზღვრავს მდებარეობას ფაილების მოსაძებნად. ამ გზით, Windows Search მხარს უჭერს ფაილების ძიებას დისტანციურ მდებარეობებზე, როგორიცაა დამონტაჟებული ქსელის გაზიარებები, გარდა ადგილობრივად შენახული საძიებო ინდექსისა. მორგებული სათაურის განსაზღვრით, თავდამსხმელმა შეიძლება შეცდომაში შეიყვანოს მომხმარებელი და დააფიქროს, რომ ეძებს ფაილებს რაიმე ლეგიტიმურ რესურსზე.
თუმცა, პრობლემაა მომხმარებლის იძულება გახსნას ასეთი ძებნა. როდესაც თქვენ დააწკაპუნებთ საძიებო ms ბმულს ვებ გვერდზე, ბრაუზერი აჩვენებს დამატებით გაფრთხილებას, ასე რომ თქვენ შეგიძლიათ უბრალოდ გააუქმოთ მისი გახსნა.
მაგრამ Word-ის შემთხვევაში ძებნა ავტომატურად გაიხსნება.
Microsoft Office OLEObject-ის ახალი ხარვეზი საშუალებას იძლევა გვერდის ავლით დაცული ხედი და გაუშვას URI პროტოკოლის დამმუშავებლები მომხმარებლის ურთიერთქმედების გარეშე, Windows Search-ის ჩათვლით. @hackerfantastic-ის შემდეგი დემო ჩვენება აჩვენებს Word დოკუმენტს, რომელიც ავტომატურად ხსნის Windows Search ფანჯარას და უერთდება დისტანციურ SMB-ს.
Microsoft Office Search-ms: URI დამმუშავებლის ექსპლუატაცია, საჭიროებს მომხმარებლის ინტერაქციას. დაუფარავი. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 2022 წლის 1 ივნისი
და იგივე მუშაობს RTF ფაილებზეც.
დაუცველობის შერბილება
სანამ მაიკროსოფტი გამოაქვეყნებს ამ დაუცველობის გამოსწორებას, მომხმარებელს შეუძლია უბრალოდ გააუქმოს საძიებო პროტოკოლის რეგისტრაცია. აქ არის ნაბიჯები.
- გახსენით ბრძანების სტრიქონი, როგორც ადმინისტრატორი.
- გასცეს ბრძანება
რეგის ექსპორტი HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". საჭიროების შემთხვევაში შეასწორეთ გზა REG-მდე. - შეასრულეთ ბრძანება
რეგ წაშლა HKEY_CLASSES_ROOT\search-ms /f. ეს წაშლის Search-ms პროტოკოლის რეგისტრაციის ჩანაწერებს რეესტრიდან.
Microsoft-მა იცის პროტოკოლის პრობლემები და არის მუშაობა გამოსწორებაზე. ასევე, კარგი რამ, რაც კომპანიას შეუძლია გააკეთოს არის ის, რომ შეუძლებელი გახადოს URI დამმუშავებლების გაშვება Microsoft Office-ში მომხმარებლის ურთიერთქმედების გარეშე.
მეშვეობით ბლეპინგ კომპიუტერი
თუ მოგწონთ ეს სტატია, გთხოვთ გააზიაროთ იგი ქვემოთ მოცემული ღილაკების გამოყენებით. ეს თქვენგან ბევრს არ წაგართმევთ, მაგრამ ეს დაგვეხმარება ზრდაში. Მადლობა მხარდაჭერისთვის!