Μια νέα ευπάθεια zero-day στο Windows Search, μπορεί να ανοίξει αυτόματα ένα παράθυρο αναζήτησης που περιέχει εκτελέσιμα προγράμματα κακόβουλου λογισμικού, απλά εκκινώντας ένα έγγραφο του Word.
Δείτε επίσης: Microsoft Office zero-day: Χρησιμοποιείται σε επιθέσεις εκτέλεσης PowerShell
Το ζήτημα ασφαλείας μπορεί να αξιοποιηθεί, καθώς τα Windows υποστηρίζουν ένα πρόγραμμα χειρισμού πρωτοκόλλου URI που ονομάζεται “search-ms” και επιτρέπει σε εφαρμογές και συνδέσμους HTML να ξεκινούν προσαρμοσμένες αναζητήσεις σε μια συσκευή.
Ενώ οι περισσότερες αναζητήσεις των Windows θα εμφανίζονται στο ευρετήριο της τοπικής συσκευής, είναι επίσης δυνατό το Windows Search να αναγκαστεί να υποβάλει ερώτημα σε κοινόχρηστα αρχεία σε απομακρυσμένους κεντρικούς υπολογιστές και να χρησιμοποιήσει έναν προσαρμοσμένο τίτλο για το παράθυρο αναζήτησης.
Οι φορείς απειλών μπορούν να χρησιμοποιήσουν το Windows zero-day σε κακόβουλες επιθέσεις, όπου αποστέλλουν μηνύματα ηλεκτρονικού ψαρέματος, προσποιούμενοι ότι είναι ενημερώσεις ασφαλείας ή ενημερώσεις κώδικα που πρέπει να εγκατασταθούν.
Στη συνέχεια, μπορούν να ρυθμίσουν ένα απομακρυσμένο κοινόχρηστο στοιχείο των Windows, που μπορεί να χρησιμοποιηθεί για τη φιλοξενία κακόβουλου λογισμικού που είναι μεταμφιεσμένο ως ενημερώσεις ασφαλείας και στη συνέχεια να συμπεριλάβει το URI αναζήτησης στα συνημμένα ή στα email τους.
Δείτε ακόμα: Mozilla: Επιδιορθώνει zero-days που αξιοποιήθηκαν στο Pwn2Own
Ωστόσο, δεν θα ήταν εύκολο να πειστεί ένας χρήστης να κάνει κλικ σε μια διεύθυνση URL όπως αυτή.
Όμως, ο συνιδρυτής του Hacker House και ερευνητής ασφάλειας Matthew Hickey βρήκε έναν τρόπο συνδυάζοντας ένα ελάττωμα του Microsoft Office OLEObject που ανακαλύφθηκε πρόσφατα με τον χειριστή πρωτοκόλλου search-ms, για να ανοίξει ένα παράθυρο απομακρυσμένης αναζήτησης απλά ανοίγοντας ένα έγγραφο του Word.
Χρησιμοποιώντας αυτόν τον τύπο κακόβουλου εγγράφου του Word, οι φορείς απειλών μπορούν να δημιουργήσουν περίπλοκες καμπάνιες ηλεκτρονικού ψαρέματος που εκκινούν αυτόματα παράθυρα Windows Search στις συσκευές των παραληπτών, για να τους ξεγελάσουν ώστε να εκκινήσουν κακόβουλο λογισμικό.
Για να μετριαστεί αυτή η ευπάθεια, ο Hickey λέει ότι μπορείτε να χρησιμοποιήσετε τον ίδιο μετριασμό για εκμεταλλεύσεις ms-msdt. Διαγράψτε το πρόγραμμα χειρισμού πρωτοκόλλου search-ms από το μητρώο των Windows.
Δείτε επίσης: Predator spyware μόλυνε συσκευές Android χρησιμοποιώντας zero-days
- Εκτελέστε τη γραμμή εντολών ως διαχειριστής.
- Για να δημιουργήσετε αντίγραφα ασφαλείας του κλειδιού μητρώου, εκτελέστε την εντολή “reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg”
- Εκτελέστε την εντολή “reg delete HKEY_CLASSES_ROOT\search-ms /f”
Πηγή: BleepingComputer