安全研究人員發(fā)現(xiàn)了一個(gè)新的Windows Search零日漏洞，攻擊者可以通過(guò)啟動(dòng)Word文檔來(lái)加以利用。該漏洞將允許威脅行為者自動(dòng)打開(kāi)一個(gè)搜索窗口，其中包含受感染系統(tǒng)上遠(yuǎn)程托管的惡意可執(zhí)行文件。

由于Windows的URI協(xié)議處理程序“search-ms”可以使用應(yīng)用程序和 HTML 鏈接在設(shè)備上進(jìn)行自定義搜索，因此利用此漏洞是可能的。盡管該協(xié)議旨在促進(jìn)使用本地設(shè)備索引的 Windows 搜索，但黑客可以強(qiáng)制操作系統(tǒng)在遠(yuǎn)程主機(jī)上執(zhí)行文件共享查詢(xún)。

不僅如此，威脅參與者還可以利用此漏洞為搜索窗口使用自定義標(biāo)題。在成功的攻擊中，犯罪者可以配置遠(yuǎn)程Windows共享托管惡意軟件，偽裝成補(bǔ)丁或安全更新，然后將惡意 search-ms URI包含在網(wǎng)絡(luò)釣魚(yú)電子郵件或附件中。然而，讓目標(biāo)打開(kāi)這樣的鏈接對(duì)攻擊者來(lái)說(shuō)可能具有挑戰(zhàn)性。嘗試打開(kāi)URL會(huì)在系統(tǒng)上觸發(fā)警告，提醒用戶某個(gè)站點(diǎn)正在嘗試訪問(wèn)Windows資源管理器。

在這種情況下，用戶需要通過(guò)單擊附加按鈕來(lái)確認(rèn)他們的操作。然而，正如安全研究員 Matthew Hickey 所證明的那樣，將 search-ms 協(xié)議處理程序與另一個(gè)新發(fā)現(xiàn)的 Office OLEObject 漏洞配對(duì)可以讓黑客通過(guò)簡(jiǎn)單地打開(kāi) Word 文檔來(lái)啟動(dòng)自定義搜索窗口。要使漏洞利用，用戶需要打開(kāi)誘餌 Word 文檔，然后從自定義搜索窗口啟動(dòng)惡意可執(zhí)行文件共享。攻擊者可以將可執(zhí)行文件偽裝成關(guān)鍵的安全更新，誘騙用戶在他們的系統(tǒng)上啟動(dòng)它。更糟糕的是，Hickey 還展示了攻擊者可以創(chuàng)建富文本格式 (RTF) 文件，通過(guò)資源管理器中的預(yù)覽選項(xiàng)卡自動(dòng)啟動(dòng)自定義 Windows 搜索窗口，而無(wú)需打開(kāi)文檔。

安全研究人員建議對(duì)新發(fā)現(xiàn)的漏洞采取以下緩解措施：

• 以管理員身份運(yùn)行命令提示符
• 在CMD中運(yùn)行reg export HKEY_CLASSES_ROOT\search-msfilename備份注冊(cè)表項(xiàng)reg 3、在CMD中執(zhí)行reg delete HKEY_CLASSES_ROOT\search-ms /f

Windows Search漏洞是在關(guān)鍵的Microsoft Office零日漏洞“Follina”出現(xiàn)后不久發(fā)現(xiàn)的。后者可以通過(guò)Microsoft診斷工具(MSDT)在PowerShell遠(yuǎn)程代碼執(zhí)行攻擊中被利用。

參考來(lái)源：https://www.bitdefender.com/blog/hotforsecurity/new-windows-search-zero-day-vulnerability-can-be-exploited-by-remotely-hosted-malware/