安全研究人员发现了一个新的Windows搜索零日漏洞,攻击者可以通过启动Word文档来利用该漏洞。该漏洞将允许威胁行为者自动打开一个搜索窗口,其中包含远程托管在受感染系统上的恶意可执行文件。可以利用此漏洞,因为Windows的URI协议处理程序“search-ms”可以使用应用程序和HTML链接在设备上执行自定义搜索。尽管该协议旨在促进使用本地设备索引的Windows搜索,但黑客可以强制操作系统在远程主机上执行文件共享查询。不仅如此,威胁行为者还可以利用此漏洞为搜索窗口使用自定义标题。在一次成功的攻击中,犯罪者可以配置远程Windows共享来托管恶意软件,伪装成补丁或安全更新,然后在网络钓鱼电子邮件或附件中包含恶意的search-msURI。但是,获得打开此类链接的目标对于攻击者来说可能具有挑战性。尝试打开URL会触发系统警告,提醒用户站点正在尝试访问Windows资源管理器。在这种情况下,用户需要通过单击附加按钮来确认他们的操作。然而,正如安全研究员MatthewHickey所证明的那样,将search-ms协议处理程序与另一个新发现的OfficeOLEObject漏洞配对可能允许黑客通过简单地打开Word文档来启动自定义搜索窗口。要利用此漏洞,用户需要打开诱饵Word文档,然后从自定义搜索窗口启动恶意可执行文件共享。攻击者可以将可执行文件伪装成重要的安全更新,诱使用户在他们的系统上启动它。更糟糕的是,Hickey还表明攻击者可以创建富文本格式(RTF)文件,这些文件无需打开文档即可通过资源管理器中的“预览”选项卡自动启动自定义Windows搜索窗口。安全研究人员针对新发现的漏洞建议采取以下缓解措施:以管理员身份运行命令提示符在CMD中运行regexportHKEY_CLASSES_ROOT\search-msfilename以备份注册表项reg3,在CMD中执行regdeleteHKEY_CLASSES_ROOT\search-ms/fWindowsSearch漏洞是在关键的MicrosoftOffice零日漏洞“Follina”出现后不久发现。后者可以通过Microsoft诊断工具(MSDT)在PowerShell远程代码执行攻击中被利用。参考来源:https://www.bitdefender.com/blog/hotforsecurity/new-windows-search-zero-day-vulnerability-can-be-exploited-by-remotely-hosted-malware/
