Windowsin haavoittuvuus aktivoituu Word-asiakirjoja avattaessa

Tutkijat löydetty uusi yhden nollapäivän haavoittuvuus, joka mahdollistaa haittaohjelmien etäsuorittamisen. Ongelmana oli URI (Uniform Resource Identifier) ​​nimeltä search-ms, jonka avulla sovellukset ja linkit voivat suorittaa hakuja tietokoneessa.

Järjestelmän nykyaikaiset versiot, mukaan lukien Windows 11, 10 ja 7, antavat Windows Searchille mahdollisuuden selata tiedostoja paikallisesti ja etäisännillä. Hyökkääjä voi käyttää protokollakäsittelijää luodakseen esimerkiksi väärennetyn Center-hakemiston Windows päivittää ja huijaa käyttäjää avaamaan haittaohjelmia naamioituneena päivittää. Nykyaikaiset kuitenkin yleensä reagoivat tällaisiin tiedostoihin ja varoittavat käyttäjää, joten on vähän mahdollisuuksia saada napsautusta tällä tavalla. Mutta huijarit ovat löytäneet muita tapoja hyödyntää tätä haavoittuvuutta.

Kuten kävi ilmi, search-ms-protokollakäsittelijä voidaan yhdistää Microsoft Office OLEObjectin haavoittuvuuteen, joka löydettiin jo aiemmin. Sen avulla voit ohittaa selaussuojauksen ja suorittaa URI-protokollakäsittelijöitä ilman käyttäjän toimia.

Tämän menetelmän esittely ilmestyi YouTubessa: MS Word -tiedostoa käytettiin toisen sovelluksen - tässä tapauksessa laskimen - käynnistämiseen. Koska search-ms: n avulla voit muuttaa hakukentän nimeä, hakkerit voivat peittää käyttöliittymän johtaakseen uhrinsa harhaan.

Samanlaisia voidaan saavuttaa ja RTF-dokumenteilla. Tässä tapauksessa sinun ei tarvitse edes käynnistää Wordia. Uusi hakuikkuna avautuu, kun Explorer näyttää tiedoston esikatselun esikatseluruudussa.

Microsoftilla on ohjeet tämän haavoittuvuuden korjaamiseen. Search-ms-protokollakäsittelijän poistaminen Windowsin rekisteristä auttaa suojaamaan järjestelmää. Tätä varten:

• Paina Win + R, kirjoita cmd ja paina Ctrl + Shift + Enter käynnistääksesi komentokehote järjestelmänvalvojan oikeuksilla.
• Tulla sisään reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg ja varmuuskopioi avain painamalla Enter.
• Sen jälkeen sisään reg poistaa HKEY_CLASSES_ROOT\search-ms /f ja paina Enter poistaaksesi avain rekisteristä.

Microsoft jo toimii protokollankäsittelijöiden ja niihin liittyvien Windows-toimintojen haavoittuvuuksien korjaaminen. Asiantuntijat sanovat kuitenkin, että hakkerit löytävät muita hyödyntämiskäsittelijöitä ja Microsoftin pitäisi sen sijaan estää URL-käsittelijöiden suorittaminen Office-sovelluksissa ilman kehotusta käyttäjä.