Windows ievainojamība tiek aktivizēta, atverot Word dokumentus

Pētnieki atklāja jauna vienas nulles dienas ievainojamība, kas ļauj attālināti izpildīt ļaunprātīgu programmatūru. Problēma bija vienotā resursu identifikatora (URI) ar nosaukumu search-ms, kas ļauj lietojumprogrammām un saitēm veikt meklēšanu datorā.

Mūsdienu sistēmas versijas, tostarp Windows 11, 10 un 7, ļauj Windows Search pārlūkot failus lokāli un attālos saimniekdatoros. Uzbrucējs var izmantot protokolu apdarinātāju, lai izveidotu, piemēram, viltotu centra direktoriju Windows atjaunina un piemāna lietotāju atvērt ļaunprātīgu programmatūru, kas ir maskēta kā Atjaunināt. Tomēr mūsdienu parasti reaģē uz šādiem failiem un brīdina lietotāju, tāpēc ir maza iespēja iegūt klikšķi šādā veidā. Taču krāpnieki ir atklājuši citus veidus, kā izmantot šo ievainojamību.

Kā izrādījās, meklēšanas ms protokolu apstrādātāju var apvienot ar Microsoft Office OLEObject ievainojamību, kas atklāta pat agrāk. Tas ļauj apiet pārlūkošanas aizsardzību un palaist URI protokolu apdarinātājus bez lietotāja iejaukšanās.

Vietnē YouTube parādījās šīs metodes demonstrācija: MS Word fails tika izmantots, lai palaistu citu lietojumprogrammu - šajā gadījumā kalkulatoru. Tā kā search-ms ļauj mainīt meklēšanas lodziņa nosaukumu, hakeri var maskēt saskarni, lai maldinātu savus upurus.

Līdzīgi var sasniegt un ar RTF dokumentiem. Šajā gadījumā jums pat nav jāstartē Word. Kad Explorer priekšskatījuma rūtī atveido faila priekšskatījumu, tiek atvērts jauns meklēšanas logs.

Korporācijai Microsoft ir instrukcijas, kā novērst šo ievainojamību. Search-ms protokola apdarinātāja noņemšana no Windows reģistra palīdzēs aizsargāt sistēmu. Priekš šī:

• Nospiediet Win + R, ierakstiet cmd un nospiediet Ctrl + Shift + Enter, lai palaistu komandu uzvedni ar administratora tiesībām.
• Ievadiet reg eksportēt HKEY_CLASSES_ROOT\search-ms search-ms.reg un nospiediet taustiņu Enter, lai dublētu taustiņu.
• Pēc tam ievadiet reg dzēst HKEY_CLASSES_ROOT\search-ms /f un nospiediet taustiņu Enter, lai noņemtu atslēgu no reģistra.

Microsoft jau darbojas protokolu apdarinātāju un saistīto Windows funkciju ievainojamību novēršana. Tomēr eksperti saka, ka hakeri atradīs citus ļaunprātīgas izmantošanas apstrādātājus un Microsoft tā vietā vajadzētu novērst URL apdarinātāju darbību Office lietojumprogrammās bez uzvednes lietotājs.