Luka pozwala na uruchomienie wyszukiwania Windows z plików MS Office bez interakcji użytkownika
W wyszukiwarce Windows pojawiła się nowa luka zero-day, która umożliwia otwieranie źle sformatowanego okna wyszukiwania ze zdalnie hostowanymi plikami wykonywalnymi złośliwego oprogramowania. Użytkownik musi tylko otworzyć specjalnie utworzony dokument Word, a wyszukiwanie otworzy się automatycznie.
W systemie Windows aplikacje, a nawet łącza HTML mogą zawierać odwołania „search-ms” do otwierania niestandardowych wyszukiwań. Wyszukiwanie niestandardowe może wyglądać następująco:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
Uruchamiając taką linię z okna dialogowego "Uruchom" (Win + R), zobaczysz coś takiego:
The wyświetlana nazwa zmienna definiuje tytuł wyszukiwania, a miękisz określa lokalizację wyszukiwania plików. W ten sposób usługa Windows Search obsługuje wyszukiwanie plików w lokalizacjach zdalnych, takich jak zamontowane udziały sieciowe, oprócz indeksu wyszukiwania przechowywanego lokalnie. Definiując niestandardowy tytuł, osoba atakująca może wprowadzić użytkownika w błąd i sprawić, że będzie myślał, że szuka plików w jakimś legalnym zasobie.
Problemem jest jednak zmuszenie użytkownika do otwarcia takiego wyszukiwania. Po kliknięciu linku wyszukiwania-ms powiedzmy na stronie internetowej, przeglądarka wyświetli dodatkowe ostrzeżenie, więc możesz po prostu anulować jego otwieranie.
Ale w przypadku Worda wyszukiwanie otworzy się automatycznie.
Nowa luka w Microsoft Office OLEObject umożliwia ominięcie widoku chronionego i uruchomienie obsługi protokołu URI bez interakcji użytkownika, w tym Windows Search. Poniższe demo autorstwa @hackerfantastic przedstawia dokument Word, który automatycznie otwiera okno wyszukiwania systemu Windows i łączy się ze zdalnym SMB.
Microsoft Office search-ms: wykorzystanie procedury obsługi identyfikatora URI, wymaga interakcji z użytkownikiem. Niezałatane. pic.twitter.com/iYbZNtMpnx
— hakerfantastic.crypto (@hackerfantastic) 1 czerwca 2022
To samo działa również w przypadku plików RTF.
Łagodzenie podatności
Zanim Microsoft wyda poprawkę dla tej luki, użytkownik może po prostu wyrejestrować protokół wyszukiwania. Oto kroki.
- otwarty Wiersz polecenia jako administrator.
- Wydaj polecenie
reg eksportuj HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". W razie potrzeby popraw ścieżkę do REG. - Wykonaj polecenie
reg usuń HKEY_CLASSES_ROOT\search-ms /f. Spowoduje to usunięcie wpisów rejestracji protokołu wyszukiwania-ms z Rejestru.
Microsoft zdaje sobie sprawę z problemów związanych z protokołem i nie pracuje nad poprawką. Ponadto dobrą rzeczą, jaką firma może zrobić, jest uniemożliwienie uruchamiania programów obsługi URI w pakiecie Microsoft Office bez interakcji użytkownika.
Przez komputer z dźwiękiem
Jeśli podoba Ci się ten artykuł, udostępnij go za pomocą przycisków poniżej. To nie zabierze Ci wiele, ale pomoże nam się rozwijać. Dziękuję za wsparcie!
