Уязвимость позволяет запустить поиск Windows из файлов MS Office без участия пользователя.
В Windows Search обнаружена новая уязвимость нулевого дня, которая позволяет открыть искаженное окно поиска с удаленно размещенными исполняемыми файлами вредоносных программ. Пользователю достаточно открыть специально сформированный документ Word, и автоматически откроется поиск.
В Windows приложения и даже HTML-ссылки могут включать ссылки «search-ms» для открытия пользовательского поиска. Пользовательский поиск может выглядеть следующим образом:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
Запустив такую строку из диалога «Выполнить» (Win+R), вы увидите примерно следующее:
показать имя переменная определяет заголовок поиска, а крошка определяет место для поиска файлов. Таким образом, Windows Search поддерживает поиск файлов в удаленных местах, таких как смонтированные общие сетевые ресурсы, в дополнение к индексу поиска, хранящемуся локально. Задав произвольный заголовок, злоумышленник может ввести пользователя в заблуждение и заставить его думать, что он ищет файлы на каком-то законном ресурсе.
Однако заставить пользователя открыть такой поиск — проблема. Когда вы нажимаете ссылку search-ms, скажем, на веб-странице, браузер показывает дополнительное предупреждение, так что вы можете просто отменить его открытие.
Но в случае Word поиск откроется автоматически.
Новая уязвимость в Microsoft Office OLEObject позволяет обходить защищенный просмотр и запускать обработчики протокола URI без взаимодействия с пользователем, включая поиск Windows. Следующая демонстрация @hackerfantastic показывает документ Word, который автоматически открывает окно поиска Windows и подключается к удаленному SMB.
Microsoft Office search-ms: эксплуатация обработчика URI, требует взаимодействия с пользователем. Неисправленный. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1 июня 2022 г.
То же самое работает и с RTF-файлами.
Снижение уязвимости
Прежде чем Microsoft выпустит исправление для этой уязвимости, пользователь может просто отменить регистрацию протокола поиска. Вот шаги.
- Открытым Командная строка от имени администратора.
- Введите команду
reg export HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". При необходимости исправьте путь к REG. - Выполните команду
reg удалить HKEY_CLASSES_ROOT\search-ms/f. Это удалит записи регистрации протокола search-ms из реестра.
Корпорация Майкрософт знает о проблемах с протоколом и работа над исправлением. Кроме того, компания может сделать невозможным запуск обработчиков URI в Microsoft Office без взаимодействия с пользователем.
С помощью писккомпьютер
Если вам понравилась эта статья, пожалуйста, поделитесь ею с помощью кнопок ниже. Это не потребует от вас многого, но поможет нам расти. Спасибо за поддержку!
