En sårbarhet gjør det mulig å kjøre et Windows-søk fra MS Office-filer uten brukerinteraksjon
Det er en ny null-dagers sårbarhet i Windows Search som gjør det mulig å åpne et misformet søkevindu med kjørbare programmer som er eksternt vert. Brukeren trenger bare å åpne et spesielt utformet Word-dokument, og søket åpnes automatisk.
På Windows kan apper og til og med HTML-lenker inneholde "search-ms"-referanser for å åpne tilpassede søk. Et tilpasset søk kan se slik ut:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
Ved å kjøre en slik linje fra "Kjør"-dialogen (Win + R), vil du se noe slikt:
De visningsnavn variabel definerer søketittelen, og smule definerer plasseringen for å søke etter filer. På denne måten støtter Windows Search leting etter filer på eksterne steder, for eksempel monterte nettverksressurser, i tillegg til søkeindeksen som er lagret lokalt. Ved å definere en egendefinert tittel kan en angriper villede brukeren og få ham til å tro at han søker etter filer på en legitim ressurs.
Det er imidlertid et problem å få brukeren til å åpne et slikt søk. Når du klikker på en søke-ms-lenke på en nettside, vil nettleseren vise en ekstra advarsel, slik at du ganske enkelt kan avbryte åpningen.
Men i tilfelle Word vil søket åpnes automatisk.
En ny feil i Microsoft Office OLEObject gjør det mulig å omgå Protected View og starte URI-protokollbehandlere uten brukerinteraksjon, inkludert Windows Search. Følgende demo av @hackerfantastic viser et Word-dokument som automatisk åpner et Windows-søkevindu og kobler til en ekstern SMB.
Microsoft Office-søk-ms: URI-behandlerutnyttelse, krever brukerinteraksjon. Upatchet. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1. juni 2022
Og det samme fungerer for RTF-filer også.
Sårbarhetsreduksjon
Før Microsoft slipper en løsning for dette sikkerhetsproblemet, kan brukeren ganske enkelt avregistrere søkeprotokollen. Her er fremgangsmåten.
- Åpen Ledetekst som administrator.
- Gi kommandoen
reg eksport HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Korriger banen til REG om nødvendig. - Utfør kommandoen
reg slett HKEY_CLASSES_ROOT\search-ms /f. Dette vil slette registreringsoppføringene for search-ms-protokollen fra registeret.
Microsoft er klar over protokollproblemene og er det jobber med å fikse. En god ting selskapet kan gjøre er også å gjøre det umulig å starte URI-behandlere i Microsoft Office uten brukerinteraksjon.
Via pipende datamaskin
Hvis du liker denne artikkelen, vennligst del den ved å bruke knappene nedenfor. Det vil ikke ta mye fra deg, men det vil hjelpe oss å vokse. Takk for støtten!
