Уязвимостта на Windows се активира при отваряне на Word документи
разни / / June 02, 2022
Всъщност това е експлоатиране на две уязвимости едновременно. Microsoft все още не е затворил дупката в сигурността, но ви е казал как да защитите компютъра си.
Изследователи открити нова уязвимост от нулев ден, която позволява дистанционно изпълнение на зловреден софтуер. Проблемът беше единен идентификатор на ресурс (URI), наречен search-ms, който позволява на приложения и връзки да изпълняват търсения на компютъра.
Съвременните версии на системата, включително Windows 11, 10 и 7, позволяват на Windows Search да преглежда файлове локално и на отдалечени хостове. Нападателят може да използва манипулатор на протокол, за да създаде, например, фалшива директория на Center Windows актуализира и подмамва потребителя да отвори зловреден софтуер, прикрит като актуализиране. Съвременните обаче обикновено реагират на такива файлове и предупреждават потребителя, така че има малък шанс да получите щракване по този начин. Но измамниците са открили други начини да използват тази уязвимост.
Както се оказа, манипулаторът на протокола search-ms може да се комбинира с уязвимост в Microsoft Office OLEObject, открита още по-рано. Позволява ви да заобиколите защитата при сърфиране и да стартирате манипулатори на URI протоколи без взаимодействие с потребителя.
Демонстрация на този метод се появи в YouTube: MS Word файл беше използван за стартиране на друго приложение - в случая калкулатор. Тъй като search-ms ви позволява да промените името на полето за търсене, хакерите могат да маскират интерфейса, за да подведат жертвите си.
Подобен може да бъде постигнат и с RTF документи. В този случай дори не е необходимо да стартирате Word. Нов прозорец за търсене се стартира, когато Explorer изобрази визуализация на файл в прозореца за преглед.
Microsoft има инструкции как да коригирате тази уязвимост. Премахването на манипулатора на протокола search-ms от системния регистър на Windows ще помогне за защитата на системата. За това:
- Натиснете Win + R, въведете cmd и натиснете Ctrl + Shift + Enter, за да стартирате командния ред с администраторски права.
- Въведете
reg експортиране HKEY_CLASSES_ROOT\search-ms search-ms.reg
и натиснете Enter, за да архивирате ключа. - След това въведете
reg изтриване HKEY_CLASSES_ROOT\search-ms /f
и натиснете Enter, за да премахнете ключа от системния регистър.
Microsoft вече върши работа коригиране на уязвимости в манипулаторите на протоколи и свързаните с тях функции на Windows. Експертите обаче казват, че хакерите ще намерят други манипулатори на експлоатиране и Microsoft вместо това трябва да попречи на URL манипулаторите да се изпълняват в приложения на Office без подкана потребител.
Прочетете също🧐
- Дупка в Microsoft Defender позволява на нападателите лесно да заобиколят защитата на Windows
- Gmail разпространява вирус под прикритието на обикновени документи
- Открита е сериозна уязвимост в 7-Zip архиватора за Windows
Най-добрите оферти за седмицата: отстъпки от AliExpress, L'Etoile, GAP и други магазини