Кошмар с протоколами Microsoft продолжается – обнаружена новая уязвимость

Новая уязвимость в функции Поиск Windows (Windows Search) может использоваться для автоматического открытия окна поиска, содержащего удаленно размещенное вредоносное ПО, просто путем запуска документа Word.

Проблема существует из-за того, что Windows поддерживает обработчик протокола URI под названием search-ms, позволяющий приложениям и HTML-ссылкам запускать на устройстве кастомизированный поиск.

Хотя в основном Поиск Windows ищет индекс локального устройства, можно также вынудить его запрашивать файлы с удаленных хостов и использовать для окна поиска кастомизированный заголовок. Злоумышленники могут воспользоваться этим для осуществления вредоносных атак, например, с помощью фишинговых писем, замаскированных под обновления безопасности. Они могут настроить удаленный общий ресурс Windows для хостинга вредоносного ПО, замаскированного под обновления безопасности, а затем добавить search-ms URI в фишинговое вложение или письмо.

Однако заставить пользователя нажать на подобную URL-ссылку не так-то просто, поскольку при попытке это сделать появится предупреждение.

Соучредитель и исследователь Hacker House Мэтью Хикки (Matthew Hickey) обнаружил способ, позволяющий объединить недавно обнаруженную уязвимость в Microsoft Office с обработчиком протокола search-ms для открытия удаленного окна поиска, просто открыв документ Word.

Ранее на этой неделе исследователи безопасности обнаружили , что хакеры эксплуатируют в атаках новую уязвимость нулевого дня в утилите Microsoft Windows Support Diagnostic Tool (MSDT). Для этого злоумышленники создают вредоносный документ Word, запускающий протокол ms-msdt для выполнения команд PowerShell путем открытия этого документа.

Уязвимость под названием Follina ( CVE-2022-30190 ) позволяет модифицировать документы Microsoft Office для обхода Protected View и запуска обработчиков протокола URI без каких-либо действий со стороны пользователя.

Хикки удалось конвертировать существующие эксплоиты для Microsoft Word MSDT, чтобы использовать обработчик протокола search-ms. Новый PoC-эксплоит позволяет автоматически запускать команду search-ms для открытия окна Поиска Windows со списком исполняемых файлов на удаленном общем ресурсе SMB, когда пользователь открывает документ Word. Злоумышленник может назвать этот общий ресурс на свое усмотрение, например, «Критические обновления», чтобы вынудить пользователей открыть документ.

Как и в случае с уязвимостью в MSDT, Хикки показал, что можно создать версии RTF, автоматически открывающие окно Поиска Windows, когда документ обрабатывается в превью Проводника.