Все
Дизайн
Код
Геймдев
Бизнес
Маркетинг
Управление
Кино и музыка
Фотография
Развитие
Здоровье
Деньги
Образование
EdTech
Корп. обучение
Блог Skillbox
Спецпроекты
Профориентация
В «Поиске Windows» нашли уязвимость нулевого дня
Чтобы отдать свои данные хакерам, нужно всего лишь открыть Word-файл.
Что случилось
Исследователи обнаружили новую уязвимость нулевого дня в компоненте «Поиск Windows» (Windows Search) — CVE-2022-30190. Она позволяет злоумышленникам открывать окна, содержащие хранящиеся удалённо исполняемые файлы вредоносных программ. А чтобы открыть такое окно, жертве достаточно запустить документ Word. Специалисты из Microsoft выпустили инструкцию на тему того, как обезопасить себя от этой уязвимости.
В чём проблема
Уязвимость находится в диагностическом инструменте Microsoft — MSDT, который сам по себе не представляет серьёзной угрозы. Но если подсунуть ему документ MS Office, то хакеры смогут получить доступ к системе.
Проблема возникает при обработке URI-протокола «search-ms», который позволяет приложениям и HTML-ссылкам запускать настраиваемый поиск на устройстве. Такие поисковые запросы могут обращаться внутрь устройства, но «Поиск Windows» расширяет их возможности. Он может запрашивать общие файловые ресурсы, расположенные на удалённых хостах.
Например, существует набор утилит Sysinternals, который позволяет пользователю удалённо подключить live.sysinternals.com как сетевую папку и запускать оттуда инструменты. И для таких действий может использоваться следующий URI из категории «search-ms»:
search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20SysinternalsВ этом запросе переменная «crumb» определяет местоположение, а «displayname» — устанавливает поисковый заголовок. При этом уязвимость можно эксплуатировать на всех операционных системах Windows — десктопных и серверных.
Как хакеры используют уязвимость
Представим сценарий атаки, который придумали исследователи, занимающиеся поиском уязвимостей.
Хакер создаёт вредоносный документ MS Office и как-то его распространяет — через сайты, соцсети, торрент-раздачи. Хотя самым популярным способом всё ещё остаётся e-mail-рассылка с вложенными файлами, которые сопровождаются классической социальной подводкой, чтобы привлечь внимание. Например: «Срочно прочитай контракт. Завтра его нужно будет подписать».
Заражённый файл содержит ссылку на HTML-файл, внутри которого находится JavaScript-код. Этот код как раз и является вредоносным — он запускает команду через MSDT и получает доступ к данным. Если атака прошла успешно, хакер сможет устанавливать программы, просматривать, менять или удалять файлы, а также создавать новые аккаунты в системе.
Что делать, чтобы не стать жертвой
Пока не вышел патч, специалисты из Microsoft рекомендуют выключить -протоколы формата MSDT URL. Чтобы сделать это, нужно запустить команду ниже в командной строке с правами администратора:
reg delete HKEY_CLASSES_ROOT\ms-msdt /fНо перед этим желательно бэкапнуть регистры с помощью команды:
reg export HKEY_CLASSES_ROOT\ms-msdt filenameКроме этого, стоит внимательнее читать email-сообщения от незнакомых пользователей — особенно те, в которые вложены документы формата MS Office.
