Bir güvenlik açığı, kullanıcı etkileşimi olmadan MS Office dosyalarından Windows araması çalıştırmaya olanak tanır
Windows Search'te, uzaktan barındırılan kötü amaçlı yazılım yürütülebilir dosyalarıyla hatalı biçimlendirilmiş bir arama penceresinin açılmasına izin veren yeni bir sıfır gün güvenlik açığı var. Kullanıcının yalnızca özel olarak oluşturulmuş bir Word belgesi açması gerekir ve arama otomatik olarak açılır.
Windows'ta uygulamalar ve hatta HTML bağlantıları, özel aramaları açmak için 'search-ms' referansları içerebilir. Özel bir arama aşağıdaki gibi görünebilir:
search-ms: sorgu=proc&crumb=konum:%5C%5Clive.sysinternals.com&displayname=%20Sysinternals aranıyor
"Çalıştır" iletişim kutusundan (Win + R) böyle bir satır çalıştırarak, şöyle bir şey göreceksiniz:
bu ekran adı değişken arama başlığını tanımlar ve kırıntı dosyaların aranacağı konumu tanımlar. Bu şekilde, Windows Search, yerel olarak depolanan arama dizinine ek olarak, bağlı ağ paylaşımları gibi uzak konumlardaki dosyaların aranmasını destekler. Saldırgan, özel bir başlık tanımlayarak kullanıcıyı yanıltabilir ve onun bazı meşru kaynaklarda dosya aradığını düşünmesine neden olabilir.
Ancak kullanıcının böyle bir aramayı açmasını sağlamak bir sorundur. Bir web sayfasında bir arama-ms bağlantısına tıkladığınızda, tarayıcı fazladan bir uyarı gösterir, böylece açmayı iptal edebilirsiniz.
Ancak Word durumunda, arama otomatik olarak açılır.
Microsoft Office OLEObject'teki yeni bir kusur, Korumalı Görünüm'ün atlanmasına ve Windows Arama dahil olmak üzere kullanıcı etkileşimi olmadan URI protokolü işleyicilerinin başlatılmasına olanak tanır. Aşağıdaki @hackerfantastic demosu, otomatik olarak bir Windows Arama penceresi açan ve uzak bir SMB'ye bağlanan bir Word belgesini göstermektedir.
Microsoft Office arama-ms: URI işleyici kullanımı, kullanıcı etkileşimi gerektirir. Yama yapılmadı. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1 Haziran 2022
Aynı şey RTF dosyaları için de geçerlidir.
Güvenlik Açığı Azaltma
Microsoft bu güvenlik açığı için bir düzeltme yayınlamadan önce, kullanıcının arama protokolünün kaydını kaldırması yeterlidir. İşte adımlar.
- Açık Yönetici Olarak Komut İstemi.
- Komutu ver
reg dışa aktarma HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". Gerekirse REG yolunu düzeltin. - Komutu yürütün
reg silme HKEY_CLASSES_ROOT\search-ms /f. Bu, arama-ms protokolü kayıt girişlerini Kayıt Defterinden siler.
Microsoft, protokol sorunlarının farkındadır ve bir düzeltme üzerinde çalışmak. Ayrıca, şirketin yapabileceği iyi bir şey, kullanıcı etkileşimi olmadan Microsoft Office'te URI işleyicilerinin başlatılmasını imkansız hale getirmektir.
Aracılığıyla bip bilgisayarı
Bu makaleyi beğendiyseniz, lütfen aşağıdaki düğmeleri kullanarak paylaşın. Sizden çok bir şey almayacak, ama büyümemize yardımcı olacak. Desteğin için teşekkürler!
