ช่องโหว่ทำให้สามารถเรียกใช้การค้นหาของ Windows จากไฟล์ MS Office ได้โดยไม่ต้องโต้ตอบกับผู้ใช้
มีช่องโหว่ Zero-day ใหม่ใน Windows Search ที่อนุญาตให้เปิดหน้าต่างค้นหาที่มีรูปแบบไม่ถูกต้องด้วยโปรแกรมเรียกทำงานของมัลแวร์ที่โฮสต์จากระยะไกล ผู้ใช้จำเป็นต้องเปิดเอกสาร Word ที่มีรูปแบบพิเศษเท่านั้น และการค้นหาจะเปิดขึ้นโดยอัตโนมัติ
บน Windows แอพและแม้แต่ลิงก์ HTML อาจรวมการอ้างอิง 'search-ms' เพื่อเปิดการค้นหาที่กำหนดเอง การค้นหาแบบกำหนดเองอาจมีลักษณะดังนี้:
ค้นหา ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
โดยการเรียกใช้บรรทัดดังกล่าวจากกล่องโต้ตอบ "Run" (Win + R) คุณจะเห็นสิ่งนี้:
ดิ ชื่อที่แสดง ตัวแปรกำหนดชื่อการค้นหาและ เศษ กำหนดตำแหน่งที่จะค้นหาไฟล์ ด้วยวิธีนี้ Windows Search จะสนับสนุนการค้นหาไฟล์บนตำแหน่งที่ตั้งระยะไกล เช่น การแชร์เครือข่ายที่เชื่อมต่อ นอกเหนือจากดัชนีการค้นหาที่จัดเก็บไว้ในเครื่อง โดยการกำหนดชื่อที่กำหนดเอง ผู้โจมตีอาจทำให้ผู้ใช้เข้าใจผิดและทำให้เขาคิดว่าเขากำลังค้นหาไฟล์ในแหล่งข้อมูลที่ถูกต้องตามกฎหมาย
อย่างไรก็ตาม การทำให้ผู้ใช้เปิดการค้นหาดังกล่าวเป็นปัญหา เมื่อคุณคลิกลิงก์ค้นหา-ms บนเว็บเพจ เบราว์เซอร์จะแสดงคำเตือนเพิ่มเติม ดังนั้นคุณจึงสามารถยกเลิกการเปิดได้
แต่ในกรณีของ Word การค้นหาจะเปิดขึ้นโดยอัตโนมัติ
ข้อบกพร่องใหม่ใน Microsoft Office OLEObject ช่วยให้สามารถข้าม Protected View และเปิดใช้ตัวจัดการโปรโตคอล URI ได้โดยไม่ต้องโต้ตอบกับผู้ใช้ ซึ่งรวมถึง Windows Search ตัวอย่างต่อไปนี้โดย @hackerfantastic แสดงเอกสาร Word ที่เปิดหน้าต่าง Windows Search โดยอัตโนมัติและเชื่อมต่อกับ SMB ระยะไกล
Microsoft Office search-ms: การใช้ประโยชน์จากตัวจัดการ URI ต้องการการโต้ตอบกับผู้ใช้ ไม่ได้รับการแก้ไข pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1 มิถุนายน 2565
และการทำงานแบบเดียวกันสำหรับไฟล์ RTF เช่นกัน
การบรรเทาความเสี่ยง
ก่อนที่ Microsoft จะเผยแพร่การแก้ไขสำหรับช่องโหว่นี้ ผู้ใช้สามารถยกเลิกการลงทะเบียนโปรโตคอลการค้นหาได้ นี่คือขั้นตอน
- เปิด พร้อมรับคำสั่งในฐานะผู้ดูแลระบบ.
- ออกคำสั่ง
ส่งออก reg HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". แก้ไขพาธไปยัง REG หากจำเป็น - ดำเนินการคำสั่ง
reg ลบ HKEY_CLASSES_ROOT\search-ms /f. การดำเนินการนี้จะลบรายการการลงทะเบียนโปรโตคอลค้นหา ms ออกจากรีจิสทรี
Microsoft ตระหนักถึงปัญหาโปรโตคอลและ กำลังดำเนินการแก้ไข. นอกจากนี้ สิ่งที่ดีที่บริษัทสามารถทำได้คือการทำให้ไม่สามารถเปิดใช้ตัวจัดการ URI ใน Microsoft Office ได้โดยไม่ต้องโต้ตอบกับผู้ใช้
ทาง bleepingcomputer
หากคุณชอบบทความนี้ โปรดแชร์โดยใช้ปุ่มด้านล่าง จะใช้เวลาไม่มากจากคุณ แต่มันจะช่วยให้เราเติบโต ขอบคุณสำหรับการสนับสนุน!