Zraniteľnosť umožňuje spustiť vyhľadávanie v systéme Windows zo súborov MS Office bez interakcie používateľa
V systéme Windows Search existuje nová zraniteľnosť zero-day, ktorá umožňuje otváranie chybne vytvoreného okna vyhľadávania so vzdialene umiestnenými spustiteľnými súbormi škodlivého softvéru. Používateľovi stačí otvoriť špeciálne vytvorený dokument programu Word a vyhľadávanie sa automaticky otvorí.
V systéme Windows môžu aplikácie a dokonca odkazy HTML obsahovať odkazy „search-ms“ na otváranie vlastných vyhľadávaní. Vlastné vyhľadávanie môže vyzerať takto:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Hľadám%20Sysinternals
Spustením takéhoto riadku z dialógového okna "Spustiť" (Win + R) uvidíte niečo takéto:
The zobraziť meno premenná definuje názov vyhľadávania a omrvinka definuje umiestnenie na vyhľadávanie súborov. Týmto spôsobom Windows Search podporuje vyhľadávanie súborov na vzdialených miestach, ako sú pripojené sieťové zdieľania, okrem indexu vyhľadávania uloženého lokálne. Zadefinovaním vlastného názvu môže útočník zavádzať používateľa a prinútiť ho myslieť si, že hľadá súbory na nejakom legitímnom zdroji.
Je však problém prinútiť používateľa, aby otvoril takéto vyhľadávanie. Keď kliknete na odkaz search-ms povedzme na webovej stránke, prehliadač zobrazí ďalšie upozornenie, takže jeho otváranie môžete jednoducho zrušiť.
Ale v prípade Wordu sa vyhľadávanie otvorí automaticky.
Nová chyba v Microsoft Office OLEObject umožňuje obísť chránené zobrazenie a spúšťať obslužné programy protokolu URI bez interakcie používateľa, vrátane Windows Search. Nasledujúca ukážka od @hackerfantastic zobrazuje dokument programu Word, ktorý automaticky otvorí okno Windows Search a pripojí sa k vzdialenému SMB.
Microsoft Office search-ms: Využitie obslužného programu URI vyžaduje interakciu používateľa. Nepatchované. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1. júna 2022
A to isté platí aj pre súbory RTF.
Zmiernenie zraniteľnosti
Predtým, ako spoločnosť Microsoft vydá opravu tejto chyby zabezpečenia, používateľ môže jednoducho zrušiť registráciu protokolu vyhľadávania. Tu sú kroky.
- OTVORENÉ Príkazový riadok ako správca.
- Vydajte príkaz
reg export HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". V prípade potreby opravte cestu k REG. - Vykonajte príkaz
reg delete HKEY_CLASSES_ROOT\search-ms /f. Týmto sa vymažú položky registrácie protokolu search-ms z registra.
Microsoft si je vedomý problémov s protokolmi a je pracuje sa na oprave. Dobrá vec, ktorú môže spoločnosť urobiť, je tiež znemožniť spustenie obslužných nástrojov URI v balíku Microsoft Office bez interakcie používateľa.
Cez pípajúci počítač
Ak sa vám tento článok páči, zdieľajte ho pomocou tlačidiel nižšie. Neberie vám to veľa, ale pomôže nám to rásť. Ďakujem za tvoju podporu!
