新的Windows搜索零日漏洞可被远程托管恶意软件利用

安全 漏洞
Windows Search漏洞是在关键的Microsoft Office零日漏洞“Follina”出现后不久发现的。后者可以通过Microsoft诊断工具(MSDT)在PowerShell远程代码执行攻击中被利用。

安全研究人员发现了一个新的Windows Search零日漏洞,攻击者可以通过启动Word文档来加以利用。该漏洞将允许威胁行为者自动打开一个搜索窗口,其中包含受感染系统上远程托管的恶意可执行文件。

由于Windows的URI协议处理程序“search-ms”可以使用应用程序和 HTML 链接在设备上进行自定义搜索,因此利用此漏洞是可能的。尽管该协议旨在促进使用本地设备索引的 Windows 搜索,但黑客可以强制操作系统在远程主机上执行文件共享查询。

不仅如此,威胁参与者还可以利用此漏洞为搜索窗口使用自定义标题。在成功的攻击中,犯罪者可以配置远程Windows共享托管恶意软件,伪装成补丁或安全更新,然后将恶意 search-ms URI包含在网络钓鱼电子邮件或附件中。然而,让目标打开这样的链接对攻击者来说可能具有挑战性。尝试打开URL会在系统上触发警告,提醒用户某个站点正在尝试访问Windows资源管理器。

在这种情况下,用户需要通过单击附加按钮来确认他们的操作。然而,正如安全研究员 Matthew Hickey 所证明的那样,将 search-ms 协议处理程序与另一个新发现的 Office OLEObject 漏洞配对可以让黑客通过简单地打开 Word 文档来启动自定义搜索窗口。要使漏洞利用,用户需要打开诱饵 Word 文档,然后从自定义搜索窗口启动恶意可执行文件共享。攻击者可以将可执行文件伪装成关键的安全更新,诱骗用户在他们的系统上启动它。更糟糕的是,Hickey 还展示了攻击者可以创建富文本格式 (RTF) 文件,通过资源管理器中的预览选项卡自动启动自定义 Windows 搜索窗口,而无需打开文档。

安全研究人员建议对新发现的漏洞采取以下缓解措施:

  • 以管理员身份运行命令提示符
  • 在CMD中运行reg export HKEY_CLASSES_ROOT\search-msfilename备份注册表项reg 3、在CMD中执行reg delete HKEY_CLASSES_ROOT\search-ms /f

Windows Search漏洞是在关键的Microsoft Office零日漏洞“Follina”出现后不久发现的。后者可以通过Microsoft诊断工具(MSDT)在PowerShell远程代码执行攻击中被利用。

参考来源:https://www.bitdefender.com/blog/hotforsecurity/new-windows-search-zero-day-vulnerability-can-be-exploited-by-remotely-hosted-malware/

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2021-09-09 06:32:28

零日漏洞网络攻击微软

2023-08-23 11:44:37

2024-08-29 15:06:13

2011-02-16 10:26:08

2024-03-29 15:34:37

2022-11-28 15:38:47

2021-03-05 16:11:54

Chrome零日漏洞谷歌

2019-08-26 00:30:48

2021-11-26 15:03:51

Windows零日漏洞恶意软件

2012-11-15 10:50:51

2021-09-24 11:08:49

零日漏洞漏洞攻击

2022-04-01 10:04:27

]零日漏洞漏洞勒索软件

2021-06-30 13:37:23

零日恶意软件恶意软件攻击

2021-07-01 13:22:11

远程代码零日漏洞微软

2017-05-27 10:59:06

2022-06-16 08:46:30

漏洞黑客微软

2022-12-15 15:01:28

2022-07-26 14:30:57

漏洞黑客网络攻击

2022-05-11 14:41:18

微软零日漏洞Windows

2024-10-25 16:01:48

点赞
收藏

51CTO技术栈公众号