Уразливість дозволяє виконувати пошук Windows з файлів MS Office без взаємодії з користувачем

У Windows Search з’явилася нова вразливість нульового дня, яка дозволяє відкривати невірне вікно пошуку з віддалено розміщеними шкідливими програмами. Користувачеві потрібно лише відкрити спеціально сформований документ Word, і пошук відкриється автоматично.

У Windows програми і навіть посилання HTML можуть містити посилання «search-ms» для відкриття користувацького пошуку. Користувацький пошук може виглядати так:

search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

Запустивши такий рядок з діалогового вікна «Виконати» (Win + R), ви побачите щось подібне:

The відображуване ім'я змінна визначає назву пошуку, і крихта визначає розташування для пошуку файлів. Таким чином, Windows Search підтримує пошук файлів у віддалених місцях, наприклад підключених мережевих ресурсах, на додаток до індексу пошуку, що зберігається локально. Визначаючи спеціальний заголовок, зловмисник може ввести користувача в оману і змусити його подумати, що він шукає файли на якомусь законному ресурсі.

Проте змусити користувача відкрити такий пошук є проблемою. Коли ви натискаєте на веб-сторінці посилання пошуку-ms, браузер відобразить додаткове попередження, тому ви можете просто скасувати його відкриття.

Але у випадку з Word пошук відкриється автоматично.

Нова вада в Microsoft Office OLEObject дозволяє обійти захищений перегляд і запустити обробники протоколів URI без взаємодії з користувачем, включаючи пошук Windows. Наступна демонстрація від @hackerfantastic показує документ Word, який автоматично відкриває вікно пошуку Windows і підключається до віддаленого SMB.

Search-ms Microsoft Office: використання обробника URI, вимагає взаємодії з користувачем. Не виправлений. pic.twitter.com/iYbZNtMpnx

— hackerfantastic.crypto (@hackerfantastic) 1 червня 2022 року

Те ж саме працює і для файлів RTF.

Пом'якшення вразливості

Перш ніж Microsoft випустить виправлення цієї вразливості, користувач може просто скасувати реєстрацію протоколу пошуку. Ось кроки.

1. ВІДЧИНЕНО Командний рядок як адміністратор.
2. Видати команду експорт reg HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". За потреби виправте шлях до REG.
3. Виконайте команду reg видалити HKEY_CLASSES_ROOT\search-ms /f. Це призведе до видалення записів реєстрації протоколу search-ms з реєстру.

Корпорація Майкрософт усвідомлює проблеми з протоколом і знає працювати над виправленням. Крім того, добре, що компанія може зробити, це зробити неможливим запуск обробників URI в Microsoft Office без взаємодії з користувачем.

Через bleepingcomputer