在微軟公布了 MSDT 支持診斷工具的高危漏洞之後,又有研究人員曝光了另一個可連接到遠程託管的惡意軟件的零日漏洞。問題在於被稱作“search-ms”的統一資源標識符(URI),相關應用或鏈接能夠藉此來啟用客戶端設備上的搜索功能,而現代的 Windows 操作系統(比如 11 / 10 / 7)又允許 Windows Search 瀏覽本地和遠程主機上的文件。
正常情況下,用戶可設置一個帶有遠程主機和顯示名稱的 URI、並在搜索窗口的標題欄上展現出來,而 Windows 可以使用各種方法來調用個性化搜索窗口(比如通過 Web 瀏覽器、或 Win+R 運行)。
然而 BleepingComputer 指出,別有用心的人或利用協議處理程序來創建虛假的 Windows 更新目錄、再誘騙用戶點擊偽裝成合法更新的惡意軟件。
慶幸的是,search-ms 協議漏洞仍需目標用戶執行部分手動操作、且現代瀏覽器(比如 Microsoft Edge)都會彈出額外的安全警告。即便如此,攻擊者仍可利用其它“組合拳”來達成目的。
比如結合 Microsoft Office OLEObject 中的一個新缺陷,便可繞過受保護的視圖並啟動 URI 協議處理程序、而無需用戶交互介入。
為做概念驗證,@hackerfantastic 嘗試製作了一個可自動打開 Windows 搜索窗口、並連接到遠程 SMB 的 Word 文檔。
此外由於 search-ms 允許對搜索窗口進行重命名,黑客甚至可以通過“個性化”的搜索來誤導用戶上鉤。
在另一個概念驗證中,他甚至通過一個 RTF 文檔實現了同樣的目的、且這次甚至無需啟動 Word 即可得逞。
當文件資源管理器在預覽窗格上創建預覽時,search-ms 漏洞就會讓它自動啟動一個新的搜索窗口。
為堵住這個漏洞,廣大現代 Windows 操作系統用戶(如 11 / 10 / 7)可嘗試以下緩解措施:
● 使用 WinKey+R 組合鍵,召喚‘運行’窗口。
● 按下 Ctrl + Shift + Enter 組合鍵,以管理員身份運行 CMD 命令提示符。
● 輸入 reg export HKEY_CLASSES_ROOTsearch-ms search-ms.reg 並執行,以創建密鑰備份。
● 鍵入 reg delete HKEY_CLASSES_ROOTsearch-ms /f 並確認執行,以從 Windows 註冊表中刪除密鑰。
目前微軟正在努力修補協議處理程序和相關 Windows 功能中的漏洞,即便如此,安全專家仍警告黑客可能隨時找到其它可利用的組合缺陷。
有鑒於此,我們只能寄希望於微軟會專註於封堵“在無用戶交互介入下,便可利用 Office 應用程序調動 URI 處理程序”的功能漏洞。
事實上,去年的 PrintNightmare 漏洞利用已是前車之鑒。然而當時微軟僅僅修復了一個組件,結果後來又讓研究人員曝光了其它漏洞。