En sårbarhet gör det möjligt att köra en Windows-sökning från MS Office-filer utan användarinteraktion
Det finns en ny nolldagarssårbarhet i Windows Search som gör det möjligt att öppna ett felaktigt sökfönster med körbara skadliga program på distans. Användaren behöver bara öppna ett speciellt format Word-dokument och sökningen öppnas automatiskt.
Annons
På Windows kan appar och till och med HTML-länkar innehålla "search-ms"-referenser för att öppna anpassade sökningar. En anpassad sökning kan se ut så här:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
Genom att köra en sådan rad från "Kör"-dialogrutan (Win + R), kommer du att se något så här:
De visningsnamn
variabel definierar söktiteln och smula
definierar platsen för att söka efter filer. På så sätt stöder Windows Search sökning efter filer på avlägsna platser, såsom monterade nätverksresurser, utöver sökindexet som lagras lokalt. Genom att definiera en anpassad titel kan en angripare vilseleda användaren och få honom att tro att han söker efter filer på någon legitim resurs.
Det är dock en fråga att få användaren att öppna en sådan sökning. När du klickar på en sök-ms-länk på en webbsida kommer webbläsaren att visa en extra varning, så du kan helt enkelt avbryta att öppna den.
Men i fallet med Word öppnas sökningen automatiskt.
En ny brist i Microsoft Office OLEObject gör det möjligt att kringgå Protected View och starta URI-protokollhanterare utan användarinteraktion, inklusive Windows Search. Följande demo av @hackerfantastic visar ett Word-dokument som automatiskt öppnar ett Windows-sökfönster och ansluter till en fjärransluten SMB.
Microsoft Office search-ms: URI-hanterare utnyttjande, kräver användarinteraktion. Opatchad. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1 juni 2022
Och detsamma fungerar för RTF-filer också.
Sårbarhetsreducering
Innan Microsoft släpper en fix för denna sårbarhet kan användaren helt enkelt avregistrera sökprotokollet. Här är stegen.
- Öppna Kommandotolken som administratör.
- Ge kommandot
reg export HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg"
. Korrigera sökvägen till REG om det behövs. - Utför kommandot
reg radera HKEY_CLASSES_ROOT\search-ms /f
. Detta kommer att radera registreringsposterna för search-ms-protokollet från registret.
Microsoft är medveten om protokollproblemen och är det jobbar på att fixa. En bra sak som företaget kan göra är också att göra det omöjligt att starta URI-hanterare i Microsoft Office utan användarinteraktion.
Via pipande dator
Om du gillar den här artikeln, vänligen dela den med knapparna nedan. Det kommer inte att ta mycket från dig, men det kommer att hjälpa oss att växa. Tack för ditt stöd!