Uma vulnerabilidade permite executar uma pesquisa do Windows a partir de arquivos do MS Office sem interação do usuário
Há uma nova vulnerabilidade de dia zero no Windows Search que permite abrir uma janela de pesquisa malformada com executáveis de malware hospedados remotamente. O usuário só precisa abrir um documento do Word especialmente formado e a pesquisa será aberta automaticamente.
No Windows, aplicativos e até links HTML podem incluir referências 'search-ms' para abrir pesquisas personalizadas. Uma pesquisa personalizada pode ter a seguinte aparência:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
Ao executar essa linha na caixa de diálogo "Executar" (Win + R), você verá algo assim:
o Nome em Exibição variável define o título da pesquisa e migalha define o local para procurar arquivos. Dessa forma, o Windows Search oferece suporte à procura de arquivos em locais remotos, como compartilhamentos de rede montados, além do índice de pesquisa armazenado localmente. Ao definir um título personalizado, um invasor pode enganar o usuário e fazê-lo pensar que está procurando arquivos em algum recurso legítimo.
No entanto, é um problema fazer com que o usuário abra essa pesquisa. Quando você clica em um link search-ms, digamos, em uma página da web, o navegador mostrará um aviso extra, para que você possa simplesmente cancelar a abertura.
Mas no caso do Word, a pesquisa será aberta automaticamente.
Uma nova falha no Microsoft Office OLEObject permite ignorar o Protected View e iniciar manipuladores de protocolo URI sem interação do usuário, incluindo o Windows Search. A demonstração a seguir de @hackerfantastic mostra um documento do Word que abre automaticamente uma janela de pesquisa do Windows e se conecta a um SMB remoto.
Microsoft Office search-ms: exploração do manipulador de URI, requer interação do usuário. Sem patch. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1º de junho de 2022
E o mesmo funciona para arquivos RTF também.
Mitigação de vulnerabilidade
Antes de a Microsoft lançar uma correção para essa vulnerabilidade, o usuário pode simplesmente cancelar o registro do protocolo de pesquisa. Aqui estão os passos.
- Abrir Prompt de comando como administrador.
- Emita o comando
reg export HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Corrija o caminho para o REG, se necessário. - Execute o comando
reg delete HKEY_CLASSES_ROOT\search-ms /f. Isso excluirá as entradas de registro do protocolo search-ms do Registro.
A Microsoft está ciente dos problemas de protocolo e está trabalhando em uma correção. Além disso, uma coisa boa que a empresa pode fazer é impossibilitar o lançamento de manipuladores de URI no Microsoft Office sem a interação do usuário.
Através da bip computador
Se você gostou deste artigo, compartilhe-o usando os botões abaixo. Não vai exigir muito de você, mas vai nos ajudar a crescer. Obrigado por seu apoio!
