Une vulnérabilité de protocole permet à une recherche Windows malveillante de s’exécuter simplement en ouvrant un fichier Word

Suite à des signalements de vulnérabilités dans l’outil de diagnostic du support Microsoft, les chercheurs ont découvert une autre vulnérabilité de type « zero-day » qui pourrait permettre la connexion à des logiciels malveillants hébergés à distance. Le problème réside dans l’URI (Uniform Resource Identifier) ​​appelé « search-ms », qui permet aux applications et aux liens d’effectuer des recherches sur l’ordinateur.

Les versions modernes de Windows, telles que 11, 10 et 7, permettent à Windows Search de parcourir les fichiers localement et sur des sites distants. L’utilisateur peut définir un URI avec une adresse d’hôte distant et un nom d’affichage à afficher dans la barre de titre de la zone de recherche. Windows peut lancer des fenêtres de recherche personnalisées à l’aide de diverses méthodes telles qu’un navigateur Web ou Exécuter (Win+R).

BleepingComputer rapporte qu’un attaquant pourrait utiliser un gestionnaire de protocole pour créer, par exemple, un faux catalogue Windows Update et inciter l’utilisateur à cliquer sur un logiciel malveillant déguisé en mise à jour légitime. Cependant, l’exécution nécessite une action de la cible et les navigateurs modernes tels que Microsoft Edge ont des avertissements de sécurité supplémentaires. Ici, d’autres lacunes commencent à apparaître.

Il s’avère que le gestionnaire de protocole search-ms peut être combiné avec une nouvelle vulnérabilité dans Microsoft Office OLEObject. Il vous permet de contourner la navigation protégée et d’exécuter des gestionnaires de protocole URI sans interaction de l’utilisateur. @hackerfantastic a démontré cette idée en créant un document Word qui ouvre automatiquement un champ de recherche Windows et se connecte à une PME distante. Parce que search-ms vous permet de renommer les champs de recherche, les pirates peuvent préparer des recherches « personnalisées » pour tromper leurs cibles.

Une autre preuve de concept montre un document RTF qui fait la même chose. Cette fois, vous n’avez même pas besoin de démarrer Word. Une nouvelle fenêtre de recherche est lancée lorsque l’Explorateur crée un aperçu dans le volet d’aperçu.

Les utilisateurs peuvent aider à protéger leurs systèmes en suivant les recommandations de Microsoft pour corriger la vulnérabilité MSDT. La suppression du gestionnaire de protocole search-ms du registre Windows aidera à protéger le système :

• Appuyez sur Win + R, tapez cmd et appuyez sur Ctrl + Maj + Entrée pour exécuter l’invite de commande en tant qu’administrateur.
• Tapez reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg et appuyez sur Entrée pour sauvegarder la clé.
• Tapez reg delete HKEY_CLASSES_ROOT\search-ms /f et appuyez sur Entrée pour supprimer la clé du registre Windows.

Microsoft travaille sur la correction des vulnérabilités dans les gestionnaires de protocole et les fonctionnalités Windows associées. Cependant, les experts disent que les pirates trouveront d’autres gestionnaires à utiliser, et Microsoft devrait s’efforcer de rendre impossible l’exécution des gestionnaires d’URL dans les applications Office sans interaction de l’utilisateur. Une situation similaire s’est produite l’année dernière avec PrintNightmare, lorsque Microsoft a corrigé un composant uniquement pour que les chercheurs trouvent d’autres vulnérabilités.