La vulnerabilità del protocollo consente l’esecuzione di ricerche dannose di Windows semplicemente aprendo un file di Word

A seguito di segnalazioni di vulnerabilità nello strumento diagnostico del supporto Microsoft, i ricercatori hanno scoperto un’altra vulnerabilità zero-day che potrebbe consentire la connessione a malware ospitato in remoto. Il problema risiede nell’URI (Uniform Resource Identifier) ​​chiamato “search-ms”, che è responsabile di consentire alle applicazioni e ai collegamenti di eseguire ricerche sul computer.

Le versioni moderne di Windows, come 11, 10 e 7, consentono a Windows Search di esplorare i file localmente e su siti remoti. L’utente può impostare un URI con un indirizzo host remoto e un nome visualizzato da visualizzare nella barra del titolo della casella di ricerca. Windows può avviare finestre di ricerca personalizzate utilizzando una varietà di metodi come un browser Web o Esegui (Win+R).

BleepingComputer segnala che un utente malintenzionato potrebbe utilizzare un gestore di protocollo per creare, ad esempio, un catalogo di Windows Update falso e indurre l’utente a fare clic su malware mascherato da aggiornamento legittimo. Tuttavia, l’esecuzione richiede un’azione dalla destinazione e i browser moderni come Microsoft Edge hanno avvisi di sicurezza aggiuntivi. Qui iniziano a comparire altre carenze.

A quanto pare, il gestore del protocollo search-ms può essere combinato con una nuova vulnerabilità in Microsoft Office OLEObject. Ti consente di ignorare la Navigazione protetta ed eseguire gestori di protocolli URI senza l’interazione dell’utente. @hackerfantastic ha dimostrato questa idea creando un documento Word che apre automaticamente una casella di ricerca di Windows e si connette a una SMB remota. Poiché search-ms ti consente di rinominare le caselle di ricerca, gli hacker possono preparare ricerche “personalizzate” per fuorviare i loro obiettivi.

Un’altra prova di concetto mostra un documento RTF che fa la stessa cosa. Questa volta, non è nemmeno necessario avviare Word. Una nuova finestra di ricerca viene avviata quando Explorer crea un’anteprima nel riquadro di anteprima.

Gli utenti possono aiutare a proteggere i propri sistemi seguendo i consigli di Microsoft per correggere la vulnerabilità MSDT. La rimozione del gestore del protocollo search-ms dal registro di Windows aiuterà a proteggere il sistema:

• Premi Win + R, digita cmd e premi Ctrl + Maiusc + Invio per eseguire il prompt dei comandi come amministratore.
• Digita reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg e premi Invio per eseguire il backup della chiave.
• Digita reg delete HKEY_CLASSES_ROOT\search-ms /f e premi Invio per rimuovere la chiave dal registro di Windows.

Microsoft sta lavorando per correggere le vulnerabilità nei gestori di protocollo e le relative funzionalità di Windows. Tuttavia, gli esperti affermano che gli hacker troveranno altri gestori da utilizzare e Microsoft dovrebbe concentrarsi sul rendere impossibile l’esecuzione dei gestori URL nelle applicazioni di Office senza l’interazione dell’utente. Una situazione simile si è verificata l’anno scorso con PrintNightmare, quando Microsoft ha corretto un componente solo per consentire ai ricercatori di trovare altre vulnerabilità.