Уразливість дозволяє виконувати пошук Windows з файлів MS Office без взаємодії з користувачем
У Windows Search з’явилася нова вразливість нульового дня, яка дозволяє відкривати невірне вікно пошуку з віддалено розміщеними шкідливими програмами. Користувачеві потрібно лише відкрити спеціально сформований документ Word, і пошук відкриється автоматично.
У Windows програми і навіть посилання HTML можуть містити посилання «search-ms» для відкриття користувацького пошуку. Користувацький пошук може виглядати так:
search-ms: query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
Запустивши такий рядок з діалогового вікна «Виконати» (Win + R), ви побачите щось подібне:
The відображуване ім'я змінна визначає назву пошуку, і крихта визначає розташування для пошуку файлів. Таким чином, Windows Search підтримує пошук файлів у віддалених місцях, наприклад підключених мережевих ресурсах, на додаток до індексу пошуку, що зберігається локально. Визначаючи спеціальний заголовок, зловмисник може ввести користувача в оману і змусити його подумати, що він шукає файли на якомусь законному ресурсі.
Проте змусити користувача відкрити такий пошук є проблемою. Коли ви натискаєте на веб-сторінці посилання пошуку-ms, браузер показує додаткове попередження, тому ви можете просто скасувати його відкриття.
Але у випадку з Word пошук відкриється автоматично.
Нова вада в Microsoft Office OLEObject дозволяє обійти захищений перегляд і запустити обробники протоколів URI без взаємодії з користувачем, включаючи пошук Windows. Наступна демонстрація від @hackerfantastic показує документ Word, який автоматично відкриває вікно пошуку Windows і підключається до віддаленого SMB.
Search-ms Microsoft Office: використання обробника URI, вимагає взаємодії з користувачем. Не виправлений. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) 1 червня 2022 року
Те ж саме працює і для файлів RTF.
Пом'якшення вразливості
Перш ніж Microsoft випустить виправлення цієї вразливості, користувач може просто скасувати реєстрацію протоколу пошуку. Ось кроки.
- ВІДЧИНЕНО Командний рядок як адміністратор.
- Видати команду
reg export HKEY_CLASSES_ROOT\search-ms "%userprofile%\Desktop\search-ms.reg". За потреби виправте шлях до REG. - Виконайте команду
reg видалити HKEY_CLASSES_ROOT\search-ms /f. Це призведе до видалення записів реєстрації протоколу search-ms з реєстру.
Корпорація Майкрософт усвідомлює проблеми з протоколом і знає працювати над виправленням. Крім того, добре, що компанія може зробити, це зробити неможливим запуск обробників URI в Microsoft Office без взаємодії з користувачем.
Через bleepingcomputer
Якщо вам подобається ця стаття, поділіться нею за допомогою кнопок нижче. Це не забере від вас багато, але допоможе нам рости. Дякую за твою підтримку!