Protokoll-Schwachstelle ermöglicht die Ausführung einer bösartigen Windows-Suche durch einfaches Öffnen einer Word-Datei

Nach Berichten über Schwachstellen im Microsoft Support Diagnostic Tool entdeckten Forscher eine weitere Zero-Day-Schwachstelle, die eine Verbindung zu remote gehosteter Malware ermöglichen könnte. Das Problem liegt im Uniform Resource Identifier (URI) namens „search-ms“, der dafür verantwortlich ist, dass Anwendungen und Links Suchen auf dem Computer ausführen können.

Moderne Windows-Versionen wie 11, 10 und 7 ermöglichen der Windows-Suche, Dateien lokal und auf Remotestandorten zu durchsuchen. Der Benutzer kann einen URI mit einer entfernten Hostadresse und einem Anzeigenamen festlegen, der in der Titelleiste des Suchfelds angezeigt wird. Windows kann personalisierte Suchfenster mit einer Vielzahl von Methoden wie einem Webbrowser oder Run (Win+R) starten.

BleepingComputer berichtet , dass ein Angreifer einen Protokoll-Handler verwenden könnte, um beispielsweise einen gefälschten Windows Update-Katalog zu erstellen und den Benutzer dazu zu bringen, auf Malware zu klicken, die als legitimes Update getarnt ist. Die Ausführung erfordert jedoch eine Aktion des Ziels, und moderne Browser wie Microsoft Edge haben zusätzliche Sicherheitswarnungen. Hier beginnen sich andere Mängel zu zeigen.

Wie sich herausstellt, lässt sich der Search-ms Protocol Handler mit einer neuen Schwachstelle in Microsoft Office OLEObject kombinieren. Es ermöglicht Ihnen, Protected Browsing zu umgehen und URI-Protokoll-Handler ohne Benutzerinteraktion auszuführen. @hackerfantastic demonstrierte diese Idee, indem es ein Word-Dokument erstellte, das automatisch ein Windows-Suchfeld öffnet und eine Verbindung zu einem entfernten SMB herstellt. Da Sie mit search-ms Suchfelder umbenennen können, können Hacker „personalisierte“ Suchen vorbereiten, um ihre Ziele in die Irre zu führen.

Ein weiterer Machbarkeitsnachweis zeigt ein RTF-Dokument, das dasselbe tut. Diesmal müssen Sie Word nicht einmal starten. Ein neues Suchfenster wird gestartet, wenn Explorer eine Vorschau im Vorschaubereich erstellt.

Benutzer können zum Schutz ihrer Systeme beitragen, indem sie den Empfehlungen von Microsoft zur Behebung der MSDT-Schwachstelle folgen. Das Entfernen des search-ms-Protokollhandlers aus der Windows-Registrierung trägt zum Schutz des Systems bei:

• Drücken Sie Win + R, geben Sie cmd ein und drücken Sie Strg + Umschalt + Eingabe, um die Eingabeaufforderung als Administrator auszuführen.
• Geben Sie reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg ein und drücken Sie die Eingabetaste, um den Schlüssel zu sichern.
• Geben Sie reg delete HKEY_CLASSES_ROOT\search-ms /f ein und drücken Sie die Eingabetaste, um den Schlüssel aus der Windows-Registrierung zu entfernen.

Microsoft arbeitet an der Behebung von Schwachstellen in Protokollhandlern und verwandten Windows-Features. Experten sagen jedoch, dass Hacker andere Handler finden werden, die sie verwenden können, und Microsoft sollte sich darauf konzentrieren, es unmöglich zu machen, dass URL-Handler in Office-Anwendungen ohne Benutzerinteraktion ausgeführt werden. Eine ähnliche Situation ereignete sich letztes Jahr bei PrintNightmare, als Microsoft nur eine Komponente patchte, damit Forscher andere Schwachstellen finden konnten.