Ranljivost omogoča izvajanje iskanja v sistemu Windows iz datotek MS Office brez interakcije uporabnika
V iskanju Windows je nova ranljivost nič dneva, ki omogoča odpiranje napačno oblikovanega iskalnega okna z oddaljeno gostijo zlonamerne programske opreme. Uporabnik mora odpreti le posebej oblikovan Wordov dokument in iskanje se bo samodejno odprlo.
V operacijskem sistemu Windows lahko aplikacije in celo povezave HTML vključujejo reference »search-ms« za odpiranje iskanja po meri. Iskanje po meri je lahko videti tako:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
Če zaženete takšno vrstico iz pogovornega okna "Zaženi" (Win + R), boste videli nekaj takega:
The prikazno ime spremenljivka definira naslov iskanja in drobtina določa lokacijo za iskanje datotek. Na ta način Windows Search podpira iskanje datotek na oddaljenih lokacijah, kot so nameščeni omrežni skupni rabi, poleg iskalnega indeksa, shranjenega lokalno. Z definiranjem naslova po meri lahko napadalec zavede uporabnika in mu da misli, da išče datoteke v nekem zakonitem viru.
Vendar pa je težava prisiliti uporabnika, da odpre takšno iskanje. Ko kliknete povezavo za iskanje ms recimo na spletni strani, bo brskalnik prikazal dodatno opozorilo, tako da lahko preprosto prekličete odpiranje.
Toda v primeru Worda se bo iskanje odprlo samodejno.
Nova napaka v Microsoft Office OLEObject omogoča obhod zaščitenega pogleda in zagon upravljavcev protokola URI brez interakcije uporabnika, vključno z iskanjem Windows. Naslednja predstavitev @hackerfantastic prikazuje Wordov dokument, ki samodejno odpre okno za iskanje v sistemu Windows in se poveže z oddaljenim SMB.
Microsoft Office search-ms: izkoriščanje URI obdelovalca, zahteva interakcijo uporabnika. Nepokrpljen. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1. junija 2022
Enako deluje tudi za datoteke RTF.
Zmanjšanje ranljivosti
Preden Microsoft izda popravek za to ranljivost, lahko uporabnik preprosto prekine registracijo iskalnega protokola. Tukaj so koraki.
- Odprto Ukazni poziv kot skrbnik.
- Izdajte ukaz
izvoz reg HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Po potrebi popravite pot do REG. - Izvedite ukaz
reg izbriši HKEY_CLASSES_ROOT\search-ms /f. S tem boste iz registra izbrisali vnose registracije protokola search-ms.
Microsoft se zaveda težav s protokolom in se delati na popravku. Prav tako je dobra stvar, ki jo lahko naredi podjetje, da onemogoča zagon upravljavcev URI v Microsoft Officeu brez interakcije z uporabnikom.
Preko bleepingračunalnik
Če vam je ta članek všeč, ga delite s spodnjimi gumbi. To vam ne bo vzelo veliko, nam pa bo pomagalo rasti. Hvala za tvojo podporo!
