O vulnerabilitate permite rularea unei căutări Windows din fișierele MS Office fără interacțiunea utilizatorului

Există o nouă vulnerabilitate zero-day în Windows Search, care permite deschiderea unei ferestre de căutare incorecte cu executabile malware găzduite de la distanță. Utilizatorul trebuie doar să deschidă un document Word format special, iar căutarea se va deschide automat.

Pe Windows, aplicațiile și chiar linkurile HTML pot include referințe „search-ms” pentru a deschide căutări personalizate. O căutare personalizată poate arăta după cum urmează:

search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

Rulând o astfel de linie din dialogul „Run” (Win + R), veți vedea ceva de genul acesta:

The Numele de afișare variabila definește titlul căutării și firimitură definește locația pentru căutarea fișierelor. În acest fel, Windows Search acceptă căutarea de fișiere în locații la distanță, cum ar fi partajări de rețea montate, pe lângă indexul de căutare stocat local. Prin definirea unui titlu personalizat, un atacator poate induce în eroare utilizatorul și îl poate face să creadă că caută fișiere pe o resursă legitimă.

Cu toate acestea, este o problemă ca utilizatorul să deschidă o astfel de căutare. Când faceți clic pe un link de căutare-ms pe o pagină web, browserul va afișa un avertisment suplimentar, astfel încât să puteți anula pur și simplu deschiderea acestuia.

Dar în cazul Word, căutarea se va deschide automat.

Un nou defect în Microsoft Office OLEObject permite ocolirea Vizualizării protejate și lansarea de gestionare a protocolului URI fără interacțiunea utilizatorului, inclusiv Windows Search. Următoarea demonstrație de la @hackerfantastic arată un document Word care deschide automat o fereastră de căutare Windows și se conectează la un SMB de la distanță.

Microsoft Office search-ms: exploatarea handlerului URI, necesită interacțiunea utilizatorului. Nepattched. pic.twitter.com/iYbZNtMpnx

— hackerfantastic.crypto (@hackerfantastic) 1 iunie 2022

Și același lucru funcționează și pentru fișierele RTF.

Atenuarea vulnerabilităților

Înainte ca Microsoft să lanseze o remediere pentru această vulnerabilitate, utilizatorul poate pur și simplu să anuleze înregistrarea protocolului de căutare. Iată pașii.

1. Deschis Prompt de comandă ca administrator.
2. Emite comanda export reg. HKEY_CLASSES_ROOT\search-ms „%userprofile%\Desktop\search-ms.reg”. Corectați calea către REG dacă este necesar.
3. Executați comanda reg șterge HKEY_CLASSES_ROOT\search-ms /f. Aceasta va șterge intrările de înregistrare a protocolului search-ms din Registry.

Microsoft este conștient de problemele de protocol și este lucrând la o remediere. De asemenea, un lucru bun pe care compania îl poate face este să facă imposibilă lansarea handlerelor URI în Microsoft Office fără interacțiunea utilizatorului.

Prin intermediul bleepingcomputer