A Windows biztonsági rése Word-dokumentumok megnyitásakor aktiválódik

Kutatók felfedezték egy új nulladik napi sebezhetőség, amely lehetővé teszi a rosszindulatú programok távoli végrehajtását. A probléma a search-ms nevű egységes erőforrás-azonosító (URI) volt, amely lehetővé teszi az alkalmazások és hivatkozások számára, hogy kereséseket hajtsanak végre a számítógépen.

A rendszer modern verziói, beleértve a Windows 11-et, 10-et és 7-et, lehetővé teszik a Windows Search számára, hogy helyileg és távoli gazdagépeken böngésszen a fájlokban. A támadó protokollkezelőt használhat például hamis Center-könyvtár létrehozására A Windows frissítései, és ráveszik a felhasználót, hogy álcázott kártevőket nyissa meg frissítés. A modernek azonban általában reagálnak az ilyen fájlokra, és figyelmeztetik a felhasználót, így kicsi az esély, hogy ilyen módon kattintsanak. Ám a csalók más módokat is felfedeztek a sérülékenység kihasználására.

Mint kiderült, a search-ms protokollkezelő kombinálható a Microsoft Office OLEObject még korábban felfedezett sérülésével. Lehetővé teszi a böngészésvédelem megkerülését és az URI protokollkezelők futtatását felhasználói beavatkozás nélkül.

Ennek a módszernek a bemutatója jelent meg a YouTube-on: egy MS Word fájl segítségével elindítottak egy másik alkalmazást - jelen esetben egy számológépet. Mivel a search-ms lehetővé teszi a keresőmező nevének megváltoztatását, a hackerek elfedhetik a felületet, hogy félrevezessék áldozataikat.

Hasonló elérhető és RTF dokumentumokkal. Ebben az esetben még a Word-et sem kell elindítani. Egy új keresőablak jelenik meg, amikor az Explorer megjelenít egy fájl előnézetét az előnézeti ablaktáblában.

A Microsoft utasításokkal rendelkezik a biztonsági rés kijavításához. A search-ms protokollkezelő eltávolítása a Windows rendszerleíró adatbázisból segít megvédeni a rendszert. Ezért:

• Nyomja meg a Win + R billentyűkombinációt, írja be a cmd-t, és nyomja meg a Ctrl + Shift + Enter billentyűket a Parancssor rendszergazdai jogosultságokkal történő elindításához.
• Belép reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg és nyomja meg az Entert a kulcs biztonsági mentéséhez.
• Ezt követően lépjen be reg törlése HKEY_CLASSES_ROOT\search-ms /f és nyomja meg az Enter billentyűt a kulcs eltávolításához a beállításjegyzékből.

A Microsoft már művek a protokollkezelők és a kapcsolódó Windows-funkciók sebezhetőségeinek javítása. A szakértők szerint azonban a hackerek más exploit-kezelőket és a Microsoftot is találnak majd ehelyett meg kell akadályoznia, hogy az URL-kezelők felszólítás nélkül fussanak az Office-alkalmazásokban felhasználó.