Luka w protokole umożliwia uruchomienie złośliwego wyszukiwania systemu Windows po prostu przez otwarcie pliku Word

Po doniesieniach o lukach w narzędziu Microsoft Support Diagnostic Tool badacze odkryli kolejną lukę dnia zerowego, która może umożliwić połączenie ze zdalnie hostowanym złośliwym oprogramowaniem. Problem leży w Uniform Resource Identifier (URI) o nazwie „search-ms”, który jest odpowiedzialny za zezwalanie aplikacjom i linkom na uruchamianie wyszukiwania na komputerze.

Nowoczesne wersje systemu Windows, takie jak 11, 10 i 7, umożliwiają wyszukiwarce Windows przeglądanie plików lokalnie i w witrynach zdalnych. Użytkownik może ustawić identyfikator URI z adresem hosta zdalnego i nazwą wyświetlaną, które będą wyświetlane na pasku tytułu pola wyszukiwania. System Windows może uruchamiać spersonalizowane okna wyszukiwania przy użyciu różnych metod, takich jak przeglądarka internetowa lub Uruchom (Win+R).

BleepingComputer zgłasza , że ​​osoba atakująca może użyć programu obsługi protokołu, aby na przykład stworzyć fałszywy katalog Windows Update i nakłonić użytkownika do kliknięcia złośliwego oprogramowania zamaskowanego jako legalna aktualizacja. Jednak wykonanie wymaga akcji od celu, a nowoczesne przeglądarki, takie jak Microsoft Edge, mają dodatkowe ostrzeżenia dotyczące bezpieczeństwa. Tutaj zaczynają się pojawiać inne niedociągnięcia.

Jak się okazuje, obsługę protokołu search-ms można połączyć z nową luką w Microsoft Office OLEObject. Umożliwia ominięcie chronionego przeglądania i uruchamianie programów obsługi protokołu URI bez interakcji użytkownika. @hackerfantastic zademonstrował ten pomysł, tworząc dokument Word, który automatycznie otwiera okno wyszukiwania systemu Windows i łączy się ze zdalnym SMB. Ponieważ search-ms umożliwia zmianę nazwy pól wyszukiwania, hakerzy mogą przygotowywać „spersonalizowane” wyszukiwania, aby wprowadzać w błąd swoje cele.

Inny dowód koncepcji pokazuje dokument RTF, który robi to samo. Tym razem nie musisz nawet uruchamiać programu Word. Nowe okno wyszukiwania jest uruchamiane, gdy Eksplorator tworzy podgląd w okienku podglądu.

Użytkownicy mogą pomóc chronić swoje systemy, postępując zgodnie z zaleceniami firmy Microsoft dotyczącymi naprawy luki w narzędziu MSDT. Usunięcie programu obsługi protokołu search-ms z rejestru systemu Windows pomoże chronić system:

• Naciśnij Win + R, wpisz cmd i naciśnij Ctrl + Shift + Enter, aby uruchomić wiersz polecenia jako administrator.
• Wpisz reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg i naciśnij klawisz Enter, aby utworzyć kopię zapasową klucza.
• Wpisz reg delete HKEY_CLASSES_ROOT\search-ms /f i naciśnij klawisz Enter, aby usunąć klucz z rejestru systemu Windows.

Firma Microsoft pracuje nad naprawą luk w modułach obsługi protokołów i powiązanych funkcjach systemu Windows. Eksperci twierdzą jednak, że hakerzy znajdą inne programy do obsługi, a Microsoft powinien skupić się na uniemożliwieniu obsługi adresów URL w aplikacjach pakietu Office bez interakcji użytkownika. Podobna sytuacja miała miejsce w zeszłym roku w przypadku PrintNightmare, kiedy Microsoft załatał jeden komponent tylko dla badaczy, aby znaleźć inne luki.