Pažeidžiamumas leidžia vykdyti Windows paiešką iš MS Office failų be vartotojo sąveikos
„Windows“ paieškoje yra naujas nulinės dienos pažeidžiamumas, leidžiantis atidaryti netinkamai suformuotą paieškos langą su nuotoliniu būdu priglobtomis kenkėjiškų programų vykdomosiomis programomis. Vartotojui tereikia atidaryti specialiai suformuotą „Word“ dokumentą, ir paieška atsidarys automatiškai.
Skelbimas
Sistemoje „Windows“ programose ir net HTML nuorodose gali būti „search-ms“ nuorodų, skirtų atidaryti pasirinktines paieškas. Tinkinta paieška gali atrodyti taip:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
Vykdydami tokią eilutę iš dialogo "Vykdyti" (Win + R), pamatysite kažką panašaus:
The rodomas pavadinimas kintamasis apibrėžia paieškos pavadinimą ir trupinėlis apibrėžia vietą, kurioje reikia ieškoti failų. Tokiu būdu „Windows Search“ palaiko ne tik vietoje saugomą paieškos indeksą, bet ir failų paiešką nutolusiose vietose, pvz., prijungtų tinklo dalių. Apibrėždamas pasirinktinį pavadinimą, užpuolikas gali suklaidinti vartotoją ir priversti jį manyti, kad jis ieško failų kokiame nors teisėtame šaltinyje.
Tačiau sunku priversti vartotoją atidaryti tokią paiešką. Kai tinklalapyje spustelėsite paieškos-ms nuorodą, naršyklė parodys papildomą įspėjimą, todėl galite tiesiog atšaukti jo atidarymą.
Tačiau Word atveju paieška bus atidaryta automatiškai.
Naujas Microsoft Office OLEObject trūkumas leidžia apeiti apsaugotą rodinį ir paleisti URI protokolų tvarkykles be vartotojo sąveikos, įskaitant Windows paiešką. Šioje @hackerfantastic demonstracijoje rodomas „Word“ dokumentas, kuris automatiškai atidaro „Windows“ paieškos langą ir prisijungia prie nuotolinio SMB.
Microsoft Office search-ms: URI tvarkyklės išnaudojimas, reikalinga vartotojo sąveika. Neužlopytas. pic.twitter.com/iYbZNtMpnx
- hackerfantastic.crypto (@hackerfantastic) 2022 m. birželio 1 d
Tas pats veikia ir RTF failams.
Pažeidžiamumo mažinimas
Prieš išleisdama šio pažeidžiamumo pataisą, vartotojas gali tiesiog išregistruoti paieškos protokolą. Štai žingsniai.
- Atviras Komandinė eilutė kaip administratorius.
- Išduokite komandą
reg eksportuoti HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Jei reikia, pataisykite kelią į REG. - Vykdykite komandą
reg ištrinti HKEY_CLASSES_ROOT\search-ms /f. Tai ištrins paieškos-ms protokolo registracijos įrašus iš registro.
„Microsoft“ žino apie protokolo problemas ir žino dirba su pataisymu. Be to, geras dalykas, kurį įmonė gali padaryti, yra padaryti neįmanoma paleisti URI tvarkyklių „Microsoft Office“ be vartotojo sąveikos.
Per pypsantis kompiuteris
Jei jums patinka šis straipsnis, pasidalykite juo naudodami toliau pateiktus mygtukus. Tai iš jūsų nereikės daug, bet padės mums augti. Ačiū už tavo pagalbą!
