La vulnerabilità di Windows si attiva all'apertura di documenti Word
Miscellanea / / June 02, 2022
In effetti, questo è un exploit di due vulnerabilità contemporaneamente. Microsoft non ha ancora chiuso il buco nella sicurezza, ma ti ha detto come proteggere il tuo computer.
Ricercatori scoperto una nuova vulnerabilità zero-day che consente l'esecuzione remota di malware. Il problema era un URI (Uniform Resource Identifier) chiamato search-ms, che consente alle applicazioni e ai collegamenti di eseguire ricerche sul computer.
Le versioni moderne del sistema, inclusi Windows 11, 10 e 7, consentono a Windows Search di sfogliare i file localmente e su host remoti. Un utente malintenzionato può utilizzare un gestore di protocollo per creare, ad esempio, una directory Center falsa Aggiornamenti di Windows e inducono l'utente ad aprire malware travestito da aggiornare. Tuttavia, quelli moderni di solito reagiscono a tali file e avvertono l'utente, quindi ci sono poche possibilità di ottenere un clic in questo modo. Ma i truffatori hanno scoperto altri modi per sfruttare questa vulnerabilità.
Come si è scoperto, il gestore del protocollo search-ms può essere combinato con una vulnerabilità in Microsoft Office OLEObject, scoperta anche prima. Ti consente di aggirare la protezione della navigazione ed eseguire gestori di protocollo URI senza l'interazione dell'utente.
Una dimostrazione di questo metodo è apparsa su YouTube: un file MS Word è stato utilizzato per avviare un'altra applicazione, in questo caso una calcolatrice. Poiché search-ms ti consente di modificare il nome della casella di ricerca, gli hacker possono mascherare l'interfaccia per fuorviare le loro vittime.
Simile può essere raggiunto e con documenti RTF. In questo caso, non è nemmeno necessario avviare Word. Una nuova finestra di ricerca viene avviata quando Explorer esegue il rendering di un'anteprima di un file nel riquadro di anteprima.
Microsoft ha istruzioni su come risolvere questa vulnerabilità. La rimozione del gestore del protocollo search-ms dal registro di Windows aiuterà a proteggere il sistema. Per questo:
- Premi Win + R, digita cmd e premi Ctrl + Maiusc + Invio per avviare il prompt dei comandi con privilegi di amministratore.
- accedere
reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg
e premere Invio per eseguire il backup della chiave. - Dopo di che entra
reg elimina HKEY_CLASSES_ROOT\search-ms /f
e premere Invio per rimuovere la chiave dal registro.
Microsoft già lavori correzione delle vulnerabilità nei gestori di protocollo e relative funzioni di Windows. Tuttavia, gli esperti affermano che gli hacker troveranno altri gestori di exploit e Microsoft dovrebbe invece impedire l'esecuzione dei gestori URL nelle applicazioni di Office senza che venga richiesto utente.
Leggi anche🧐
- Un buco in Microsoft Defender consente agli aggressori di aggirare facilmente la protezione di Windows
- Gmail sta diffondendo un virus sotto le spoglie di documenti regolari
- È stata rilevata una grave vulnerabilità nell'archiviatore 7-Zip per Windows
Le migliori offerte della settimana: sconti da AliExpress, L'Etoile, GAP e altri negozi