Windows Tips & News

Uma vulnerabilidade permite executar uma pesquisa do Windows a partir de arquivos do MS Office sem interação do usuário

RECOMENDADO: Clique aqui para corrigir problemas do Windows e otimizar o desempenho do sistema

Há uma nova vulnerabilidade de dia zero no Windows Search que permite abrir uma janela de pesquisa malformada com executáveis ​​de malware hospedados remotamente. O usuário só precisa abrir um documento do Word especialmente formado e a pesquisa será aberta automaticamente.

Propaganda

No Windows, aplicativos e até links HTML podem incluir referências 'search-ms' para abrir pesquisas personalizadas. Uma pesquisa personalizada pode ter a seguinte aparência:

search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

Ao executar essa linha na caixa de diálogo "Executar" (Win + R), você verá algo assim:

o Nome em Exibição variável define o título da pesquisa e migalha define o local para procurar arquivos. Dessa forma, o Windows Search oferece suporte à procura de arquivos em locais remotos, como compartilhamentos de rede montados, além do índice de pesquisa armazenado localmente. Ao definir um título personalizado, um invasor pode enganar o usuário e fazê-lo pensar que está procurando arquivos em algum recurso legítimo.

No entanto, é um problema fazer com que o usuário abra essa pesquisa. Quando você clica em um link search-ms, digamos, em uma página da web, o navegador mostrará um aviso extra, para que você possa simplesmente cancelar a abertura.

Mas no caso do Word, a pesquisa será aberta automaticamente.

Uma nova falha no Microsoft Office OLEObject permite ignorar o Protected View e iniciar manipuladores de protocolo URI sem interação do usuário, incluindo o Windows Search. A demonstração a seguir de @hackerfantastic mostra um documento do Word que abre automaticamente uma janela de pesquisa do Windows e se conecta a um SMB remoto.

Microsoft Office search-ms: exploração do manipulador de URI, requer interação do usuário. Sem patch. pic.twitter.com/iYbZNtMpnx

— hackerfantastic.crypto (@hackerfantastic) 1º de junho de 2022

E o mesmo funciona para arquivos RTF também.

Mitigação de vulnerabilidade

Antes de a Microsoft lançar uma correção para essa vulnerabilidade, o usuário pode simplesmente cancelar o registro do protocolo de pesquisa. Aqui estão os passos.

  1. Abrir Prompt de comando como administrador.
  2. Emita o comando reg export HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Corrija o caminho para o REG, se necessário.
  3. Execute o comando reg delete HKEY_CLASSES_ROOT\search-ms /f. Isso excluirá as entradas de registro do protocolo search-ms do Registro.

A Microsoft está ciente dos problemas de protocolo e está trabalhando em uma correção. Além disso, uma coisa boa que a empresa pode fazer é impossibilitar o lançamento de manipuladores de URI no Microsoft Office sem a interação do usuário.

Através da bip computador

RECOMENDADO: Clique aqui para corrigir problemas do Windows e otimizar o desempenho do sistema

Se você gostou deste artigo, compartilhe-o usando os botões abaixo. Não vai exigir muito de você, mas vai nos ajudar a crescer. Obrigado por seu apoio!

Como desativar a assinatura enviada do Mail para Windows 10

Como desativar a assinatura enviada do Mail para Windows 10

O Windows 10 inclui um novo aplicativo Mail que é simplista e permite que você envie e receba ema...

Consulte Mais informação

Como habilitar IDN Punycode na barra de endereços do Firefox

Como habilitar IDN Punycode na barra de endereços do Firefox

RECOMENDADO: Clique aqui para corrigir problemas do Windows e otimizar o desempenho do sistemaPun...

Consulte Mais informação

Desative o acesso do aplicativo a contatos no Windows 10

Desative o acesso do aplicativo a contatos no Windows 10

As configurações de privacidade dos contatos fazem parte do aplicativo Configurações, que permite...

Consulte Mais informação