„Windows“ pažeidžiamumas suaktyvinamas atidarant „Word“ dokumentus

Tyrinėtojai atrado naujas vienos nulinės dienos pažeidžiamumas, leidžiantis nuotoliniu būdu vykdyti kenkėjiškas programas. Problema kilo dėl vienodo išteklių identifikatoriaus (URI), vadinamo search-ms, kuris leidžia programoms ir nuorodoms atlikti paieškas kompiuteryje.

Šiuolaikinės sistemos versijos, įskaitant „Windows 11“, „10“ ir „7“, leidžia „Windows Search“ naršyti failus vietoje ir nuotoliniuose pagrindiniuose kompiuteriuose. Užpuolikas gali naudoti protokolų tvarkyklę, kad sukurtų, pavyzdžiui, netikrą centro katalogą „Windows“ naujiniai ir apgaudinėja vartotoją, kad jis atidarytų kenkėjišką programą, užmaskuotą kaip atnaujinti. Tačiau šiuolaikiniai dažniausiai į tokius failus reaguoja ir įspėja vartotoją, tad tikimybė sulaukti paspaudimo tokiu būdu yra maža. Tačiau sukčiai atrado kitų būdų, kaip išnaudoti šį pažeidžiamumą.

Kaip paaiškėjo, paieškos-ms protokolo tvarkyklę galima derinti su Microsoft Office OLEObject pažeidžiamumu, aptiktu dar anksčiau. Tai leidžia apeiti naršymo apsaugą ir paleisti URI protokolų tvarkykles be vartotojo sąveikos.

„YouTube“ pasirodė šio metodo demonstracija: MS Word failas buvo panaudotas kitai programai paleisti – šiuo atveju skaičiuotuvui. Kadangi „Search-ms“ leidžia pakeisti paieškos laukelio pavadinimą, įsilaužėliai gali užmaskuoti sąsają, kad suklaidintų savo aukas.

Panašus galima pasiekti ir su RTF dokumentais. Tokiu atveju jums net nereikia paleisti Word. Naujas paieškos langas paleidžiamas, kai naršyklė peržiūros srityje pateikia failo peržiūrą.

„Microsoft“ turi instrukcijas, kaip ištaisyti šį pažeidžiamumą. Paieškos ms protokolo tvarkyklės pašalinimas iš „Windows“ registro padės apsaugoti sistemą. Už tai:

• Paspauskite Win + R, įveskite cmd ir paspauskite Ctrl + Shift + Enter, kad paleistumėte komandų eilutę su administratoriaus teisėmis.
• Įeikite reg eksportuoti HKEY_CLASSES_ROOT\search-ms search-ms.reg ir paspauskite Enter, kad sukurtumėte atsarginę rakto kopiją.
• Po to įeikite reg ištrinti HKEY_CLASSES_ROOT\search-ms /f ir paspauskite Enter, kad pašalintumėte raktą iš registro.

Microsoft jau darbai protokolų tvarkyklių ir susijusių Windows funkcijų pažeidžiamumų taisymas. Tačiau ekspertai teigia, kad įsilaužėliai ras kitų išnaudojimo tvarkytojų ir „Microsoft“. vietoj to turėtų neleisti URL tvarkyklėms veikti Office programose be raginimo Vartotojas.