Новости MicrosoftПоследние новости

Найдена новая уязвимость нулевого дня в ПОИСКЕ Windows

После сообщений об уязвимостях средства диагностики службы поддержки Майкрософт исследователи обнаружили еще одну уязвимость нулевого дня, позволяющую подключаться к удаленно размещенным вредоносным программам. Проблема заключается в универсальном идентификаторе ресурса (URI) под названием «search-ms», который отвечает за разрешение приложениям и ссылкам запускать поиск на компьютере.

Уязвимость нулевого дня в ПОИСКЕ Windows

Современные версии Windows, такие как 11, 10 и 7, позволяют Windows Search просматривать файлы локально и на удаленных узлах. Пользователь может установить URI с адресом удаленного хоста и отображаемым именем, которое будет отображаться в строке заголовка окна поиска. Windows может запускать окна персонализированного поиска с помощью различных методов, таких как веб-браузер или «Выполнить» (Win + R).

BleepingComputer сообщает, что злоумышленник может использовать обработчик протокола для создания, например, поддельного каталога Центра обновления Windows и обманом заставить пользователя щелкнуть вредоносное ПО, замаскированное под законное обновление. Тем не менее, выполнение требует действия от цели, а современные браузеры, такие как Microsoft Edge, имеют дополнительные предупреждения безопасности. Здесь начинают проявляться другие недостатки.

Как оказалось, обработчик протокола search-ms можно совместить с новой уязвимостью в Microsoft Office OLEObject. Он позволяет обходить защищенный просмотр и запускать обработчики протокола URI без взаимодействия с пользователем. @hackerfantastic продемонстрировал эту идею, создав документ Word, который автоматически открывает окно поиска Windows и подключается к удаленному SMB. Поскольку search-ms позволяет переименовывать окна поиска, хакеры могут подготовить «персонализированный» поиск, чтобы ввести в заблуждение свои цели.

Пользователи могут защитить свои системы, выполнив рекомендации Microsoft по устранению уязвимости MSDT. Удаление обработчика протокола search-ms из реестра Windows поможет защитить систему:

  1. Нажмите Win + R, введите cmd и нажмите Ctrl + Shift + Enter, чтобы запустить командную строку от имени администратора.
  2. Введите reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg и нажмите Enter, чтобы создать резервную копию ключа.
  3. Введите reg delete HKEY_CLASSES_ROOT\search-ms /f и нажмите Enter, чтобы удалить ключ из реестра Windows.

Источник
www.bleepingcomputer.com

Статьи по Теме

Добавить комментарий

Ваш адрес email не будет опубликован.

Кнопка «Наверх»