Luka w zabezpieczeniach systemu Windows aktywuje się podczas otwierania dokumentów programu Word

Badacze odkryty nowa luka zero-day, która umożliwia zdalne wykonanie złośliwego oprogramowania. Problemem był jednolity identyfikator zasobów (URI) o nazwie search-ms, który umożliwia aplikacjom i linkom uruchamianie wyszukiwania na komputerze.

Nowoczesne wersje systemu, w tym Windows 11, 10 i 7, umożliwiają Windows Search przeglądanie plików lokalnie i na zdalnych hostach. Atakujący może użyć programu obsługi protokołu do stworzenia na przykład fałszywego katalogu w centrum Aktualizacje systemu Windows i nakłaniają użytkownika do otwarcia złośliwego oprogramowania przebranego za aktualizacja. Jednak współczesne zazwyczaj reagują na takie pliki i ostrzegają użytkownika, więc szanse na kliknięcie w ten sposób są niewielkie. Jednak oszuści odkryli inne sposoby wykorzystania tej luki.

Jak się okazało, obsługę protokołu search-ms można połączyć z wykrytą wcześniej luką w Microsoft Office OLEObject. Pozwala ominąć ochronę przeglądania i uruchomić programy obsługi protokołu URI bez interakcji użytkownika.

Demonstracja tej metody pojawiła się na YouTube: plik MS Word został użyty do uruchomienia innej aplikacji - w tym przypadku kalkulatora. Ponieważ search-ms umożliwia zmianę nazwy pola wyszukiwania, hakerzy mogą maskować interfejs, aby wprowadzić w błąd swoje ofiary.

Podobny może być osiągnięte oraz z dokumentami RTF. W takim przypadku nie musisz nawet uruchamiać programu Word. Nowe okno wyszukiwania jest uruchamiane, gdy Eksplorator renderuje podgląd pliku w okienku podglądu.

Microsoft ma instrukcje, jak naprawić tę lukę. Usunięcie programu obsługi protokołu wyszukiwania-ms z rejestru systemu Windows pomoże chronić system. Dla tego:

• Naciśnij Win + R, wpisz cmd i naciśnij Ctrl + Shift + Enter, aby uruchomić wiersz polecenia z uprawnieniami administratora.
• Wchodzić reg eksportuj HKEY_CLASSES_ROOT\search-ms search-ms.reg i naciśnij klawisz Enter, aby wykonać kopię zapasową klucza.
• Następnie wejdź reg usuń HKEY_CLASSES_ROOT\search-ms /f i naciśnij Enter, aby usunąć klucz z rejestru.

Microsoft już Pracuje naprawianie luk w programach obsługi protokołów i powiązanych funkcjach systemu Windows. Jednak eksperci twierdzą, że hakerzy znajdą inne programy obsługujące exploity, a Microsoft powinien zamiast tego zapobiegać uruchamianiu programów obsługi adresów URL w aplikacjach pakietu Office bez monitowania użytkownik.