Μια νέα ευπάθεια των Windows Search zero-day μπορεί να χρησιμοποιηθεί για να ανοίξει αυτόματα ένα παράθυρο αναζήτησης που περιέχει εκτελέσιμα προγράμματα κακόβουλου λογισμικού που φιλοξενούνται εξ αποστάσεως απλά εκκινώντας ένα έγγραφο του Word.
Το ζήτημα ασφαλείας μπορεί να αξιοποιηθεί επειδή τα Windows υποστηρίζουν ένα πρόγραμμα χειρισμού πρωτοκόλλου URI που ονομάζεται “search-ms” που επιτρέπει σε εφαρμογές και συνδέσμους HTML να ξεκινούν προσαρμοσμένες αναζητήσεις σε μια συσκευή.
Ενώ οι περισσότερες αναζητήσεις των Windows θα εμφανίζονται στο ευρετήριο της τοπικής συσκευής, είναι επίσης δυνατό να αναγκαστεί η Αναζήτηση των Windows να υποβάλει ερώτημα σε κοινόχρηστα αρχεία σε απομακρυσμένους κεντρικούς υπολογιστές και να χρησιμοποιήσει έναν προσαρμοσμένο τίτλο για το παράθυρο αναζήτησης.
Για παράδειγμα, το δημοφιλές σύνολο εργαλείων Sysinternals σάς επιτρέπει να προσαρτήσετε απομακρυσμένα live.sysinternals.com ως κοινόχρηστο στοιχείο δικτύου για την εκκίνηση των βοηθητικών προγραμμάτων του. Για να πραγματοποιήσετε αναζήτηση σε αυτό το απομακρυσμένο κοινόχρηστο στοιχείο και στη λίστα μόνο αρχείων που ταιριάζουν με ένα συγκεκριμένο όνομα, θα μπορούσατε να χρησιμοποιήσετε το ακόλουθο URI ‘search-ms’:
search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Αναζήτηση%20Sysinternals
Καθώς μπορείτε να δείτε από την παραπάνω εντολή, η μεταβλητή search-ms ‘crumb’ καθορίζει την τοποθεσία για αναζήτηση και η μεταβλητή ‘displayname’ καθορίζει τον τίτλο αναζήτησης.
Θα εμφανιστεί ένα παράθυρο προσαρμοσμένης αναζήτησης όταν εκτελεστεί αυτή η εντολή από ένα παράθυρο διαλόγου Εκτέλεση ή από τη γραμμή διευθύνσεων του προγράμματος περιήγησης Ιστού στα Windows 7, Windows 10 και Windows 11
Παρατηρήστε πώς ο τίτλος του παραθύρου ορίζεται στο εμφανιζόμενο όνομα «Αναζήτηση Sysinternals» που καθορίσαμε στην αναζήτηση -ms URI.
Οι φορείς απειλών θα μπορούσαν να χρησιμοποιήσουν την ίδια προσέγγιση για κακόβουλες επιθέσεις, όπου αποστέλλονται μηνύματα ηλεκτρονικού ψαρέματος προσποιούμενοι ότι είναι ενημερώσεις ασφαλείας ή ενημερώσεις κώδικα που πρέπει να εγκατασταθούν.
Στη συνέχεια, μπορούν να ρυθμίσουν ένα απομακρυσμένο κοινόχρηστο στοιχείο των Windows που μπορεί να χρησιμοποιηθεί για τη φιλοξενία κακόβουλου λογισμικού που είναι μεταμφιεσμένο ως ενημερώσεις ασφαλείας και, στη συνέχεια, να συμπεριλάβει το URI αναζήτησης στα συνημμένα ή στα email τους.
Ωστόσο, δεν θα ήταν εύκολο να πείσετε έναν χρήστη να κάνει κλικ σε μια διεύθυνση URL όπως αυτή, ειδικά όταν εμφανίζει μια προειδοποίηση.
.Ο συνιδρυτής του Hacker House και ερευνητής ασφάλειας Matthew Hickey βρήκε έναν τρόπο συνδυάζοντας ένα νέο ελάττωμα OLEObject του Microsoft Office που ανακαλύφθηκε με τον χειριστή πρωτοκόλλου αναζήτησης-ms για να ανοίξει ένα παράθυρο απομακρυσμένης αναζήτησης απλά ανοίγοντας ένα έγγραφο του Word