Noua căutare Windows Zero-day a fost adăugată la coșmarul protocolului Microsoft

O nouă vulnerabilitate Windows Search zero-day poate fi folosită pentru a deschide automat o fereastră de căutare care conține executabile malware găzduite de la distanță, prin simpla lansare a unui document Word.

Problema de securitate poate fi exploatată deoarece Windows acceptă un handler de protocol URI numit „search-ms” care permite aplicațiilor și link-urilor HTML să execute căutări personalizate pe un dispozitiv.

Deși majoritatea căutărilor Windows se uită la indexul dispozitivului local, este, de asemenea, posibil să forțați Căutarea Windows să interogheze partajările de fișiere pe gazde la distanță și să folosească un titlu personalizat pentru fereastra de căutare.

De exemplu, popularul set de instrumente Sysinternals vă permite să montați de la distanță live.sysinternals.com ca partaj de rețea pentru a-și lansa utilitățile. Pentru a căuta această partajare la distanță și pentru a lista numai fișierele care se potrivesc unui anumit nume, puteți utiliza următorul URI „search-ms”:

search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

După cum puteți vedea în comanda de mai sus, variabila search-ms „crumb” specifică locația de căutare, iar variabila „displayname” specifică titlul căutării.

O fereastră de căutare personalizată apare atunci când această comandă este executată dintr-o casetă de dialog Run sau dintr-o bară de adrese a browserului web în Windows 7, Windows 10 și Windows 11, după cum se arată mai jos.

Căutare Windows pe o partajare de fișiere la distanță
Căutare Windows pe o partajare de fișiere la distanță
Sursa: BleepingComputer

Observați cum titlul ferestrei este setat la numele afișat „Searching Sysinternals” pe care l-am specificat în URI-ul search-ms.

Actorii amenințărilor ar putea folosi aceeași abordare pentru atacurile rău intenționate, în care e-mailurile de phishing sunt trimise pretinzând a fi actualizări de securitate sau patch-uri care trebuie instalate.

Apoi, aceștia pot configura o partajare Windows la distanță care poate fi folosită pentru a găzdui programe malware deghizate în actualizări de securitate și apoi pot include URI-ul search-ms în atașamentele sau e-mailurile lor de phishing.

Cu toate acestea, nu ar fi ușor să convingi un utilizator să facă clic pe o adresă URL ca aceasta, mai ales când afișează un avertisment, așa cum se arată mai jos.

Avertisment de browser la lansarea gestionarilor de protocol URI
Avertisment de browser la lansarea gestionarilor de protocol URI
Sursa: BleepingComputer

Dar cofondatorul și cercetătorul de securitate al Hacker House, Matthew Hickey, a găsit o modalitate combinând un defect recent descoperit de Microsoft Office OLEObject cu gestionarea protocolului search-ms pentru a deschide o fereastră de căutare la distanță doar prin deschiderea unui document Word.

Microsoft Office îl duce la următorul nivel

Săptămâna aceasta, cercetătorii au descoperit că actorii amenințărilor foloseau o nouă vulnerabilitate Windows zero-day în Microsoft Windows Support Diagnostic Tool (MSDT). Pentru a-l exploata, hackerii au creat documente Word rău intenționate care au lansat gestionarea protocolului URI „ms-msdt” pentru a executa comenzile PowerShell pur și simplu prin deschiderea documentului.

Identificat ca CVE-2022-30190, defectul permite modificarea documentelor Microsoft Office pentru a ocoli Vizualizarea protejată și a lansa manipulatorii de protocol URI fără interacțiunea utilizatorului, ceea ce va duce doar la abuzuri suplimentare ale gestionatorilor de protocol.

S-a întâmplat ieri când Hickey a convertit exploatările Microsoft Word MSDT existente pentru a utiliza handlerul de protocol search-ms pe care l-am descris mai devreme.

Cu acest nou PoC, atunci când un utilizator deschide un document Word, lansează automat o comandă „search-ms” pentru a deschide o fereastră de căutare Windows care listează executabile pe o partajare SMB la distanță. Această cotă poate fi numită așa cum dorește actorul amenințării, cum ar fi „Actualizări critice”, determinând utilizatorii să instaleze malware-ul enumerat.

La fel ca exploatările MSDT, Hickey a arătat, de asemenea, că puteți crea versiuni RTF care deschid automat o fereastră de căutare Windows atunci când documentul este redat în panoul de previzualizare Explorer.

Folosind acest tip de document Word rău intenționat, hackerii pot crea campanii de phishing elaborate care lansează automat ferestre de căutare Windows pe dispozitivele destinatarilor pentru a-i păcăli să lanseze programe malware.

Deși această exploatare nu este la fel de gravă precum vulnerabilitatea de execuție a codului de la distanță MS-MSDT, ar putea duce la abuzuri de către actori rău-intenționați harnici care doresc să creeze campanii sofisticate de phishing.

Deși am găsit deja modalități de a exploata acest nou defect al naturii, nu vom împărtăși aceste informații din motive evidente.

Pentru a atenua această vulnerabilitate, Hickey spune că puteți utiliza aceeași atenuare pentru exploatările ms-msdt – eliminați handlerul de protocol search-ms din registrul Windows.

  1. A alerga Prompt de comandă la fel de Administrator.
  2. Pentru a face o copie de rezervă a cheii de registry, executați comanda “reg export HKEY_CLASSES_ROOTsearch-ms search-ms.reg
  3. Rulați comanda “reg eliminați HKEY_CLASSES_ROOTsearch-ms /f

Un protocol Windows Nightmare

Exemplele de abuz MSDT și search-ms nu sunt noi, dezvăluite inițial de Benjamin Altpeter în 2020 în teza sa despre securitatea aplicației Electron.

Cu toate acestea, abia recent au început să fie armate în documente Word pentru atacuri de phishing fără interacțiunea utilizatorului, ceea ce le-a transformat în vulnerabilități zero-day.

Pe baza îndrumărilor Microsoft pentru CVE-2022-30190, compania pare să abordeze defecte ale gestionarilor de protocol și ale funcționalității Windows subiacente, mai degrabă decât faptul că actorii amenințărilor pot abuza de Microsoft Office pentru a lansa aceste URI-uri fără interacțiunea utilizatorului.

După cum spune analistul de vulnerabilitate CERT/CC Will Dormann, aceste exploatări folosesc de fapt două defecte diferite. Fără a rezolva problema Microsoft Office URI, alți handler de protocol vor fi abuzați.

Will Dormann scrie pe Twitter

Hickey a mai spus pentru BleepingComputer că el consideră că nu este neapărat o defecțiune a gestionarilor de protocol, ci mai degrabă o combinație care duce la o „vulnerabilitate de falsificare a căii de locație Microsoft Office OLEObject”. search-ms”.

„Cel mai bun lucru de făcut este să remediați titlul capacității de căutare și mesajele de setare a locației pentru a preveni astfel de atacuri de falsificare sau să îl dezactivați ca handler URI”, a explicat Hickey într-o conversație post. despre defecte.

În iunie, cercetătorii au scurs din greșeală detalii tehnice și un exploit proof-of-concept (PoC) pentru o vulnerabilitate Windows Spooler RCE numită PrintNightmare.

În timp ce componenta RCE a fost corectată rapid, o gamă largă de vulnerabilități locale la nivel de privilegii au fost descoperite și au continuat să fie dezvăluite sub clasificarea „PrintNightmare”.

Abia când Microsoft a făcut modificări drastice la imprimarea Windows, a luat în sfârșit controlul asupra acestei clase de vulnerabilități, deși a cauzat o mulțime de probleme de imprimare pentru o perioadă.

Abordând problema doar din partea de gestionare a protocolului/funcției Windows, Microsoft se confruntă cu o nouă clasificare „ProtocolNightmare”, în care cercetătorii vor continua să găsească noi handler-uri URI pe care să îi abuzeze în atacuri.

Până când Microsoft face imposibilă lansarea de handlere URI în Microsoft Office fără interacțiunea utilizatorului, fiți pregătiți pentru o mulțime de articole de știri similare pe măsură ce sunt lansate noi exploit-uri.

Add Comment