Odkryto podatność w Microsoft Office i Windows Search. Jak się uchronić?

Odkryto podatność w Microsoft Office i Windows Search. Jak się uchronić?

 Krzysztof Sulikowski
Krzysztof Sulikowski
15:34
02.06.2022
731 wyświetlenie

Badacze zabezpieczeń odkryli podatność zero-day, która umożliwia połączenie ze zdalnie hostowanym złośliwym oprogramowaniem. Problem dotyczy jednego z URI (Uniform Resource Identifier) o nazwie "search-ms", odpowiedzialnego za zezwalanie aplikacjom i linkom na uruchamianie wyszukiwania w Windows. Lukę można wykorzystać z pomocą specjalnie przygotowanego dokumentu Office.

Ostatnie wersje Windows, takie jak Windows 11, 10, 8 i 7, umożliwiają systemowej wyszukiwarce przeglądanie plików lokalnie i na zdalnych hostach. Użytkownik może ustawić URI z adresem zdalnego hosta i nazwą, które będą wyświetlane na pasku tytułu okna wyszukiwania. Windows może uruchamiać spersonalizowane okna wyszukiwania przy użyciu różnych metod, takich jak przeglądarka internetowa lub polecenie "Uruchom" (Win + R). Cyberprzestępcy mogą wykorzystać handler (program obsługi) protokołu, aby na przykład skierować użytkownika do fałszywego katalogu Windows Update i nakłonić do pobrania złośliwego oprogramowania przedstawianego jako prawowita aktualizacja. Wymaga to jednak działania ofiary, a nowoczesne przeglądarki mogą bić na alarm, dlatego do gry wchodzi kolejna podatność.

Microsoft Edge - ostrzeżenie

Jak się okazało, można połączyć obsługę protokołu search-ms z nowo odkrytą luką w Microsoft Office OLEObject. Pozwala to ominąć etap widoku chronionego i uruchomić handlery protokołu URI bez interakcji użytkownika. @hackerfantastic zademonstrował ten pomysł, tworząc dokument Word, który automatycznie otwiera okno wyszukiwania (Windows Search) i łączy się ze zdalnym SMB. Ponieważ search-ms umożliwia zmianę nazwy okien wyszukiwania, hakerzy mogą przygotowywać "spersonalizowane" wyszukiwania, aby wprowadzać w błąd swoje cele.

Jeszcze inny proof-of-concept demonstruje dokument RTF, który robi to samo. Tym razem scenariusz nie wymaga nawet uruchamiania programu Word. Nowe okno wyszukiwania jest uruchamiane, gdy Eksplorator plików tworzy podgląd w okienku podglądu.

Przed wyżej opisanymi atakami można się uchronić, usuwając handler protokołu search-ms z systemowego rejestru:

  1. Otwórz Wiersz polecenia (cmd) jako administrator.
  2. Wpisz reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg i naciśnij Enter, aby utworzyć kopię zapasową klucza.
  3. Wpisz reg delete HKEY_CLASSES_ROOT\search-ms /f i naciśnij Enter, aby usunąć klucz z rejestru.

Microsoft pracuje już nad rozwiązaniem problemu. Podatność określana jako "Microsoft Windows Support Diagnostic Tool (MSDT) Remote Code Execution Vulnerability (CVE-2022-30190)" zostanie najprawdopodobniej załatana w najbliższy Patch Tuesday, który wypada 14 czerwca.


Spodobał Ci się ten artykuł? Podziel się z innymi!

Źródło: https://www.bleepingcomputer.com/news/security/new-windows-search-zero-day-added-to-microsoft-protocol-nightmare/

Polecamy również w kategorii Bezpieczeństwo