在微软公布了 MSDT 支持诊断工具的高危漏洞之后,又有研究人员曝光了另一个可连接到远程托管的恶意软件的零日漏洞。问题在于被称作“search-ms”的统一资源标识符(URI),相关应用或链接能够借此来启用客户端设备上的搜索功能,而现代的 Windows 操作系统(比如 11 / 10 / 7)又允许 Windows Search 浏览本地和远程主机上的文件。
正常情况下,用户可设置一个带有远程主机和显示名称的 URI、并在搜索窗口的标题栏上展现出来,而 Windows 可以使用各种方法来调用个性化搜索窗口(比如通过 Web 浏览器、或 Win+R 运行)。
然而 BleepingComputer 指出,别有用心的人或利用协议处理程序来创建虚假的 Windows 更新目录、再诱骗用户点击伪装成合法更新的恶意软件。
庆幸的是,search-ms 协议漏洞仍需目标用户执行部分手动操作、且现代浏览器(比如 Microsoft Edge)都会弹出额外的安全警告。即便如此,攻击者仍可利用其它“组合拳”来达成目的。
比如结合 Microsoft Office OLEObject 中的一个新缺陷,便可绕过受保护的视图并启动 URI 协议处理程序、而无需用户交互介入。
为做概念验证,@hackerfantastic 尝试制作了一个可自动打开 Windows 搜索窗口、并连接到远程 SMB 的 Word 文档。
此外由于 search-ms 允许对搜索窗口进行重命名,黑客甚至可以通过“个性化”的搜索来误导用户上钩。
在另一个概念验证中,他甚至通过一个 RTF 文档实现了同样的目的、且这次甚至无需启动 Word 即可得逞。
当文件资源管理器在预览窗格上创建预览时,search-ms 漏洞就会让它自动启动一个新的搜索窗口。
为堵住这个漏洞,广大现代 Windows 操作系统用户(如 11 / 10 / 7)可尝试以下缓解措施:
● 使用 WinKey+R 组合键,召唤‘运行’窗口。
● 按下 Ctrl + Shift + Enter 组合键,以管理员身份运行 CMD 命令提示符。
● 输入 reg export HKEY_CLASSES_ROOTsearch-ms search-ms.reg 并执行,以创建密钥备份。
● 键入 reg delete HKEY_CLASSES_ROOTsearch-ms /f 并确认执行,以从 Windows 注册表中删除密钥。
目前微软正在努力修补协议处理程序和相关 Windows 功能中的漏洞,即便如此,安全专家仍警告黑客可能随时找到其它可利用的组合缺陷。
有鉴于此,我们只能寄希望于微软会专注于封堵“在无用户交互介入下,便可利用 Office 应用程序调动 URI 处理程序”的功能漏洞。
事实上,去年的 PrintNightmare 漏洞利用已是前车之鉴。然而当时微软仅仅修复了一个组件,结果后来又让研究人员曝光了其它漏洞。