Sårbarhet i Windows aktiveras när Word-dokument öppnas
Miscellanea / / June 02, 2022
I själva verket är detta ett utnyttjande av två sårbarheter samtidigt. Microsoft har inte täppt till säkerhetshålet ännu, men det har berättat för dig hur du skyddar din dator.
Forskare upptäckt en ny en noll-dagars sårbarhet som tillåter fjärrexekvering av skadlig programvara. Problemet var en Uniform Resource Identifier (URI) som heter search-ms, som gör att applikationer och länkar kan köra sökningar på datorn.
Moderna versioner av systemet, inklusive Windows 11, 10 och 7, tillåter Windows Search att bläddra i filer lokalt och på fjärrvärdar. En angripare kan använda en protokollhanterare för att skapa, till exempel, en falsk Center-katalog Windows-uppdateringar och lura användaren att öppna skadlig programvara förklädd som uppdatering. Moderna reagerar dock vanligtvis på sådana filer och varnar användaren, så det är liten chans att få ett klick på det här sättet. Men bedragare har upptäckt andra sätt att utnyttja denna sårbarhet.
Det visade sig att sök-ms-protokollhanteraren kan kombineras med en sårbarhet i Microsoft Office OLEObject, upptäckt ännu tidigare. Det låter dig kringgå surfskydd och köra URI-protokollhanterare utan användarinteraktion.
En demonstration av denna metod dök upp på YouTube: en MS Word-fil användes för att starta en annan applikation - i det här fallet en miniräknare. Eftersom search-ms låter dig ändra namnet på sökrutan, kan hackare maskera gränssnittet för att vilseleda sina offer.
Liknande kan uppnås och med RTF-dokument. I det här fallet behöver du inte ens starta Word. Ett nytt sökfönster öppnas när Explorer gör en förhandsgranskning av en fil i förhandsgranskningsfönstret.
Microsoft har instruktioner om hur man åtgärdar denna sårbarhet. Att ta bort search-ms-protokollhanteraren från Windows-registret hjälper till att skydda systemet. För detta:
- Tryck på Win + R, skriv cmd och tryck på Ctrl + Shift + Enter för att starta kommandotolken med administratörsbehörighet.
- Stiga på
reg export HKEY_CLASSES_ROOT\search-ms sök-ms.reg
och tryck på Enter för att säkerhetskopiera nyckeln. - Efter det gå in
reg radera HKEY_CLASSES_ROOT\search-ms /f
och tryck på Enter för att ta bort nyckeln från registret.
Microsoft redan Arbetar åtgärda sårbarheter i protokollhanterare och relaterade Windows-funktioner. Men experter säger att hackare kommer att hitta andra exploateringshanterare, och Microsoft bör istället förhindra URL-hanterare från att köras i Office-program utan att uppmanas användare.
Läs också🧐
- Ett hål i Microsoft Defender gör att angripare enkelt kan kringgå Windows-skyddet
- Gmail sprider ett virus under sken av vanliga dokument
- En allvarlig sårbarhet hittades i 7-Zip-arkivet för Windows
Veckans bästa erbjudanden: rabatter från AliExpress, L'Etoile, GAP och andra butiker