Ievainojamība ļauj veikt Windows meklēšanu no MS Office failiem bez lietotāja iejaukšanās
Programmā Windows Search ir jauna nulles dienas ievainojamība, kas ļauj atvērt nepareizi veidotu meklēšanas logu ar attāli mitinātām ļaunprātīgas programmatūras izpildāmām failiem. Lietotājam tikai jāatver īpaši izveidots Word dokuments, un meklēšana tiks automātiski atvērta.
Operētājsistēmā Windows lietotnēs un pat HTML saitēs var būt ietvertas “search-ms” atsauces, lai atvērtu pielāgotus meklējumus. Pielāgota meklēšana var izskatīties šādi:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
Palaižot šādu rindiņu dialoglodziņā "Palaist" (Win + R), jūs redzēsit kaut ko līdzīgu:
The parādāmais nosaukums mainīgais definē meklēšanas nosaukumu un drupatas nosaka vietu, kur meklēt failus. Tādā veidā Windows meklēšana atbalsta failu meklēšanu attālās vietās, piemēram, pievienotos tīkla koplietojumos, papildus lokāli saglabātajam meklēšanas indeksam. Definējot pielāgotu nosaukumu, uzbrucējs var maldināt lietotāju un likt viņam domāt, ka viņš meklē failus kādā likumīgā resursā.
Tomēr ir problēma likt lietotājam atvērt šādu meklēšanu. Tīmekļa lapā noklikšķinot uz meklēšanas ms saites, pārlūkprogramma parādīs papildu brīdinājumu, lai jūs varētu vienkārši atcelt tās atvēršanu.
Bet Word gadījumā meklēšana tiks atvērta automātiski.
Jauns Microsoft Office OLEObject trūkums ļauj apiet aizsargāto skatu un palaist URI protokolu apdarinātājus bez lietotāja iejaukšanās, tostarp Windows meklēšanu. Šajā @hackerfantastic demonstrācijā ir parādīts Word dokuments, kas automātiski atver Windows meklēšanas logu un izveido savienojumu ar attālo SMB.
Microsoft Office search-ms: URI apstrādātāja izmantošana, nepieciešama lietotāja mijiedarbība. Atbrīvots. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 2022. gada 1. jūnijs
Un tas pats attiecas arī uz RTF failiem.
Neaizsargātības mazināšana
Pirms Microsoft izlaiž šīs ievainojamības labojumu, lietotājs var vienkārši atcelt meklēšanas protokola reģistrāciju. Šeit ir norādītas darbības.
- Atvērt Komandu uzvedne kā administrators.
- Izdod komandu
reg eksportēt HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Ja nepieciešams, labojiet ceļu uz REG. - Izpildi komandu
reg dzēst HKEY_CLASSES_ROOT\search-ms /f. Tādējādi no reģistra tiks izdzēsti meklēšanas ms protokola reģistrācijas ieraksti.
Microsoft apzinās protokola problēmas un ir strādā pie labošanas. Turklāt laba lieta, ko uzņēmums var darīt, ir padarīt neiespējamu URI apdarinātāju palaišanu programmā Microsoft Office bez lietotāja mijiedarbības.
Caur pīkstošs dators
Ja jums patīk šis raksts, lūdzu, kopīgojiet to, izmantojot tālāk esošās pogas. Tas no jums neprasīs daudz, taču tas palīdzēs mums augt. Paldies par atbalstu!
