Windowsi haavatavus aktiveerub Wordi dokumentide avamisel

Teadlased avastatud uus nullpäeva haavatavus, mis võimaldab pahavara kaugkäivitamist. Probleemiks oli ühtne ressursiidentifikaator (URI) nimega search-ms, mis võimaldab rakendustel ja linkidel arvutis otsinguid teha.

Süsteemi kaasaegsed versioonid, sealhulgas Windows 11, 10 ja 7, võimaldavad Windows Searchil sirvida faile kohapeal ja kaughostides. Ründaja saab kasutada protokollihaldurit, et luua näiteks võltskeskuse kataloog Windows värskendab ja meelitab kasutajat avama maskeeritud pahavara värskendada. Moodsad aga tavaliselt reageerivad sellistele failidele ja hoiatavad kasutajat, mistõttu on vähe võimalusi sellisel viisil klõpsu saada. Kuid petturid on avastanud muid võimalusi selle haavatavuse ärakasutamiseks.

Nagu selgus, saab otsingu-ms-protokolli töötlejat kombineerida Microsoft Office OLEObjecti haavatavusega, mis avastati isegi varem. See võimaldab teil sirvimiskaitsest mööda minna ja käitada URI-protokolli töötlejaid ilma kasutaja sekkumiseta.

Selle meetodi demonstratsioon ilmus YouTube'is: MS Wordi faili kasutati teise rakenduse - antud juhul kalkulaatori - käivitamiseks. Kuna search-ms võimaldab teil muuta otsingukasti nime, saavad häkkerid ohvrite eksitamiseks liidest maskeerida.

Sarnased on võimalik saavutada ja RTF-dokumentidega. Sel juhul ei pea te isegi Wordi käivitama. Kui Explorer renderdab eelvaatepaanil faili eelvaate, avaneb uus otsinguaken.

Microsoftil on juhised selle haavatavuse parandamiseks. Otsingu-ms-protokolli töötleja eemaldamine Windowsi registrist aitab süsteemi kaitsta. Selle jaoks:

• Vajutage Win + R, tippige cmd ja vajutage Ctrl + Shift + Enter, et käivitada administraatoriõigustega käsuviip.
• Sisenema reg eksportida HKEY_CLASSES_ROOT\search-ms search-ms.reg ja vajutage klahvi varundamiseks sisestusklahvi.
• Pärast seda sisenege reg kustutada HKEY_CLASSES_ROOT\search-ms /f ja võtme registrist eemaldamiseks vajutage sisestusklahvi.

Microsoft juba töötab haavatavuste parandamine protokollihaldurites ja sellega seotud Windowsi funktsioonides. Kuid eksperdid ütlevad, et häkkerid leiavad teisi ärakasutamise töötlejaid ja Microsofti peaks selle asemel takistama URL-i töötlejate töötamist Office'i rakendustes ilma viipata kasutaja.