Рањивост омогућава покретање Виндовс претраге из МС Оффице датотека без интеракције корисника

Постоји нова рањивост нултог дана у Виндовс претрази која омогућава отварање погрешно обликованог прозора за претрагу са извршним програмима малвера који се налазе на даљину. Корисник треба само да отвори посебно формиран Ворд документ, а претрага ће се аутоматски отворити.

У оперативном систему Виндовс, апликације, па чак и ХТМЛ везе могу да садрже референце 'сеарцх-мс' за отварање прилагођених претрага. Прилагођена претрага може изгледати овако:

сеарцх-мс: куери=проц&црумб=лоцатион:%5Ц%5Цливе.сисинтерналс.цом&дисплаинаме=Сеарцхинг%20Сисинтерналс

Покретањем такве линије из дијалога „Покрени“ (Вин + Р), видећете нешто овако:

Тхе Показати име променљива дефинише наслов претраге, и мрвица дефинише локацију за претрагу датотека. На овај начин, Виндовс Сеарцх подржава тражење датотека на удаљеним локацијама, као што су монтирани мрежни дељени садржаји, поред индекса претраге који се чува локално. Дефинисањем прилагођеног наслова, нападач може обманути корисника и навести га да мисли да тражи датотеке на неком легитимном ресурсу.

Међутим, проблем је натерати корисника да отвори такву претрагу. Када кликнете на везу за претрагу-мс рецимо на веб страници, претраживач ће приказати додатно упозорење, тако да можете једноставно отказати отварање.

Али у случају Ворд-а, претрага ће се аутоматски отворити.

Нова мана у Мицрософт Оффице ОЛЕОбјецт-у омогућава заобилажење заштићеног приказа и покретање УРИ протокола за руковање без интеракције корисника, укључујући Виндовс претрагу. Следећи демо од @хацкерфантастиц приказује Ворд документ који аутоматски отвара прозор Виндовс Сеарцх и повезује се на удаљени СМБ.

Мицрософт Оффице сеарцх-мс: искоришћавање УРИ руковаоца, захтева интеракцију корисника. Унпатцхед. пиц.твиттер.цом/иИбЗНтМпнк

— хацкерфантастиц.црипто (@хацкерфантастиц) 1. јуна 2022

И исто функционише и за РТФ датотеке.

Ублажавање рањивости

Пре него што Мицрософт објави исправку за ову рањивост, корисник може једноставно да поништи регистрацију протокола за претрагу. Ево корака.

1. Отвори Командни редак као администратор.
2. Издајте команду рег екпорт ХКЕИ_ЦЛАССЕС_РООТ\сеарцх-мс "%усерпрофиле%\Десктоп\сеарцх-мс.рег". Исправите путању до РЕГ-а ако је потребно.
3. Извршите команду рег делете ХКЕИ_ЦЛАССЕС_РООТ\сеарцх-мс /ф. Ово ће избрисати уносе регистрације протокола претраге-мс из Регистра.

Мицрософт је свестан проблема са протоколом и јесте ради на поправци. Такође, добра ствар коју компанија може да уради је да онемогући покретање УРИ руковаоца у Мицрософт Оффице-у без интеракције корисника.

Виа блеепингцомпутер