Chyba zabezpečení systému Windows se aktivuje při otevírání dokumentů aplikace Word

Výzkumníci objevil nová zranitelnost one-day, která umožňuje vzdálené spuštění malwaru. Problémem byl identifikátor URI (Uniform Resource Identifier) ​​s názvem search-ms, který umožňuje aplikacím a odkazům spouštět vyhledávání v počítači.

Moderní verze systému, včetně Windows 11, 10 a 7, umožňují Windows Search procházet soubory lokálně a na vzdálených hostitelích. Útočník může pomocí obslužné rutiny protokolu vytvořit například falešný adresář Centra Systém Windows se aktualizuje a oklame uživatele, aby otevřel malware maskovaný jako Aktualizace. Ty moderní však na takové soubory většinou reagují a uživatele varují, takže šance na proklik tímto způsobem získat je malá. Podvodníci však objevili další způsoby, jak tuto zranitelnost zneužít.

Jak se ukázalo, handler protokolu search-ms lze kombinovat se zranitelností v Microsoft Office OLEObject, objevenou ještě dříve. Umožňuje vám obejít ochranu procházení a spouštět obslužné nástroje protokolu URI bez interakce uživatele.

Na YouTube se objevila ukázka této metody: soubor MS Word byl použit ke spuštění další aplikace – v tomto případě kalkulačky. Protože search-ms umožňuje změnit název vyhledávacího pole, hackeři mohou maskovat rozhraní, aby své oběti uvedli v omyl.

Podobný může být dosaženo a s dokumenty RTF. V tomto případě nemusíte ani spouštět Word. Když Průzkumník vykreslí náhled souboru v podokně náhledu, otevře se nové vyhledávací okno.

Společnost Microsoft má pokyny, jak tuto chybu zabezpečení opravit. Odstranění obslužné rutiny protokolu search-ms z registru Windows pomůže chránit systém. Pro tohle:

• Stiskněte Win + R, zadejte cmd a stiskněte Ctrl + Shift + Enter pro spuštění příkazového řádku s oprávněními správce.
• Vstupte export reg HKEY_CLASSES_ROOT\search-ms search-ms.reg a stisknutím klávesy Enter zálohujte klíč.
• Poté zadejte reg delete HKEY_CLASSES_ROOT\search-ms /f a stisknutím klávesy Enter odeberte klíč z registru.

Microsoft již funguje oprava zranitelných míst v obslužných rutinách protokolů a souvisejících funkcích Windows. Nicméně experti tvrdí, že hackeři najdou jiné exploit handlery a Microsoft by měl místo toho zabránit spouštění obslužných rutin URL v aplikacích Office bez vyzvání uživatel.