Windows Tips & News

En sårbarhet gör det möjligt att köra en Windows-sökning från MS Office-filer utan användarinteraktion

click fraud protection
REKOMMENDERAD: Klicka här för att åtgärda Windows-problem och optimera systemets prestanda

Det finns en ny nolldagarssårbarhet i Windows Search som gör det möjligt att öppna ett felaktigt sökfönster med körbara skadliga program på distans. Användaren behöver bara öppna ett speciellt format Word-dokument och sökningen öppnas automatiskt.

Annons

På Windows kan appar och till och med HTML-länkar innehålla "search-ms"-referenser för att öppna anpassade sökningar. En anpassad sökning kan se ut så här:

search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

Genom att köra en sådan rad från "Kör"-dialogrutan (Win + R), kommer du att se något så här:

De visningsnamn variabel definierar söktiteln och smula definierar platsen för att söka efter filer. På så sätt stöder Windows Search sökning efter filer på avlägsna platser, såsom monterade nätverksresurser, utöver sökindexet som lagras lokalt. Genom att definiera en anpassad titel kan en angripare vilseleda användaren och få honom att tro att han söker efter filer på någon legitim resurs.

Det är dock en fråga att få användaren att öppna en sådan sökning. När du klickar på en sök-ms-länk på en webbsida kommer webbläsaren att visa en extra varning, så du kan helt enkelt avbryta att öppna den.

Men i fallet med Word öppnas sökningen automatiskt.

En ny brist i Microsoft Office OLEObject gör det möjligt att kringgå Protected View och starta URI-protokollhanterare utan användarinteraktion, inklusive Windows Search. Följande demo av @hackerfantastic visar ett Word-dokument som automatiskt öppnar ett Windows-sökfönster och ansluter till en fjärransluten SMB.

Microsoft Office search-ms: URI-hanterare utnyttjande, kräver användarinteraktion. Opatchad. pic.twitter.com/iYbZNtMpnx

— hackerfantastic.crypto (@hackerfantastic) 1 juni 2022

Och detsamma fungerar för RTF-filer också.

Sårbarhetsreducering

Innan Microsoft släpper en fix för denna sårbarhet kan användaren helt enkelt avregistrera sökprotokollet. Här är stegen.

  1. Öppna Kommandotolken som administratör.
  2. Ge kommandot reg export HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Korrigera sökvägen till REG om det behövs.
  3. Utför kommandot reg radera HKEY_CLASSES_ROOT\search-ms /f. Detta kommer att radera registreringsposterna för search-ms-protokollet från registret.

Microsoft är medveten om protokollproblemen och är det jobbar på att fixa. En bra sak som företaget kan göra är också att göra det omöjligt att starta URI-hanterare i Microsoft Office utan användarinteraktion.

Via pipande dator

REKOMMENDERAD: Klicka här för att åtgärda Windows-problem och optimera systemets prestanda

Om du gillar den här artikeln, vänligen dela den med knapparna nedan. Det kommer inte att ta mycket från dig, men det kommer att hjälpa oss att växa. Tack för ditt stöd!

Säkerhetstips: Skydda din Windows-produktnyckel från att bli stulen

Säkerhetstips: Skydda din Windows-produktnyckel från att bli stulen

REKOMMENDERAD: Klicka här för att åtgärda Windows-problem och optimera systemets prestandaVisste ...

Läs mer

Återställ verktygsfältet Snabbåtkomst i Windows 10 File Explorer

Återställ verktygsfältet Snabbåtkomst i Windows 10 File Explorer

Windows 10 har Ribbon UI i File Explorer med ett verktygsfält för snabb åtkomst överst. Igår såg ...

Läs mer

Hur man ändrar strömläge i Windows 11

Hur man ändrar strömläge i Windows 11

Den här artikeln visar hur du ändrar energiläge i Windows 11. Det är en funktion som Microsoft in...

Läs mer