После сообщений об уязвимостях средства диагностики службы поддержки Майкрософт исследователи обнаружили еще одну уязвимость нулевого дня, позволяющую подключаться к удаленно размещенным вредоносным программам. Проблема заключается в универсальном идентификаторе ресурса (URI) под названием «search-ms», который отвечает за разрешение приложениям и ссылкам запускать поиск на компьютере.
Современные версии Windows, такие как 11, 10 и 7, позволяют Windows Search просматривать файлы локально и на удаленных узлах. Пользователь может установить URI с адресом удаленного хоста и отображаемым именем, которое будет отображаться в строке заголовка окна поиска. Windows может запускать окна персонализированного поиска с помощью различных методов, таких как веб-браузер или «Выполнить» (Win + R).
BleepingComputer сообщает, что злоумышленник может использовать обработчик протокола для создания, например, поддельного каталога Центра обновления Windows и обманом заставить пользователя щелкнуть вредоносное ПО, замаскированное под законное обновление. Тем не менее, выполнение требует действия от цели, а современные браузеры, такие как Microsoft Edge, имеют дополнительные предупреждения безопасности. Здесь начинают проявляться другие недостатки.
Как оказалось, обработчик протокола search-ms можно совместить с новой уязвимостью в Microsoft Office OLEObject. Он позволяет обходить защищенный просмотр и запускать обработчики протокола URI без взаимодействия с пользователем. @hackerfantastic продемонстрировал эту идею, создав документ Word, который автоматически открывает окно поиска Windows и подключается к удаленному SMB. Поскольку search-ms позволяет переименовывать окна поиска, хакеры могут подготовить «персонализированный» поиск, чтобы ввести в заблуждение свои цели.
Пользователи могут защитить свои системы, выполнив рекомендации Microsoft по устранению уязвимости MSDT. Удаление обработчика протокола search-ms из реестра Windows поможет защитить систему:
- Нажмите Win + R, введите cmd и нажмите Ctrl + Shift + Enter, чтобы запустить командную строку от имени администратора.
- Введите
reg export HKEY_CLASSES_ROOT\search-ms search-ms.regи нажмите Enter, чтобы создать резервную копию ключа. - Введите
reg delete HKEY_CLASSES_ROOT\search-ms /fи нажмите Enter, чтобы удалить ключ из реестра Windows.
