Zero-day ใหม่กับ Microsoft protocol nightmare ⋆ World Blogs

Zero-day ใหม่กับ Microsoft protocol nightmare

03/06/2022

ช่องโหว่ Zero-day ใหม่ของ Windows Search สามารถใช้เปิดหน้าต่างค้นหาที่มีไฟล์เรียกทำงานของมัลแวร์ที่โฮสต์จากระยะไกลได้โดยอัตโนมัติเพียงแค่เปิดเอกสาร Word

ปัญหาด้านความปลอดภัยสามารถใช้ประโยชน์ได้เนื่องจาก Windows รองรับตัวจัดการโปรโตคอล URI ที่เรียกว่า ‘search-ms’ ซึ่งช่วยให้แอปพลิเคชันและลิงก์ HTML สามารถเปิดการค้นหาที่กำหนดเองบนอุปกรณ์ได้

บทความแนะนำ : PlayStation ระงับการจัดส่งฮาร์ดแวร์และซอฟต์แวร์ในรัสเซีย

แม้ว่าการค้นหาของ Windows ส่วนใหญ่จะดูที่ดัชนีของอุปกรณ์ในเครื่อง แต่ก็เป็นไปได้ที่จะบังคับให้ Windows Search ค้นหาการแชร์ไฟล์บนโฮสต์ระยะไกลและใช้ชื่อที่กำหนดเองสำหรับหน้าต่างค้นหา

ตัวอย่างเช่น ชุดเครื่องมือ Sysinternals ยอดนิยมช่วยให้คุณเมา ต์ live.sysinternals.com จากระยะไกล เป็นการแชร์เครือข่ายเพื่อเปิดใช้ยูทิลิตี้ หากต้องการค้นหาการแชร์ระยะไกลนี้และแสดงรายการเฉพาะไฟล์ที่ตรงกับชื่อใดชื่อหนึ่ง คุณสามารถใช้ URI ‘search-ms’ ต่อไปนี้:

search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
ดังที่คุณเห็นจากคำสั่งด้านบน ตัวแปร ‘crumb’ ของ search-ms จะระบุตำแหน่งที่จะค้นหา และตัวแปร ‘displayname’ จะระบุชื่อการค้นหา

หน้าต่างการค้นหาที่กำหนดเองจะปรากฏขึ้นเมื่อเรียกใช้คำสั่งนี้จากกล่องโต้ตอบเรียกใช้หรือแถบที่อยู่เว็บเบราว์เซอร์ใน Windows 7, Windows 10 และ Windows 11 ดังที่แสดงด้านล่าง

โปรดสังเกตว่าชื่อหน้าต่างถูกตั้งค่าเป็นชื่อที่แสดง ‘Searching Sysinternals’ ที่เราระบุใน search-ms URI

ผู้คุกคามสามารถใช้แนวทางเดียวกันนี้สำหรับการโจมตีที่ประสงค์ร้าย โดยที่อีเมลฟิชชิ่งถูกส่งไปโดยอ้างว่าเป็นการอัปเดตความปลอดภัยหรือโปรแกรมแก้ไขที่จำเป็นต้องติดตั้ง

จากนั้นพวกเขาสามารถตั้งค่าการแชร์ Windows ระยะไกลที่สามารถใช้เพื่อโฮสต์มัลแวร์ที่ปลอมแปลงเป็นการอัปเดตความปลอดภัย จากนั้นรวม URI การค้นหา MS ไว้ในไฟล์แนบฟิชชิ่งหรืออีเมล

อย่างไรก็ตาม มันไม่ง่ายเลยที่จะให้ผู้ใช้คลิก URL แบบนี้ โดยเฉพาะอย่างยิ่งเมื่อแสดงคำเตือนดังที่แสดงด้านล่าง

แต่ Matthew Hickey ผู้ร่วมก่อตั้งและนักวิจัยด้านความปลอดภัยของ Hacker House พบวิธีโดยการรวมข้อบกพร่องของ Microsoft Office OLEObject ที่เพิ่งค้นพบกับตัวจัดการโปรโตคอล search-ms เพื่อเปิดหน้าต่างการค้นหาระยะไกลเพียงแค่เปิดเอกสาร Word

บทความอื่น ๆ : superagui.net