Windows Search: bug consente l'esecuzione di malware

Windows Search: bug consente l'esecuzione di malware

Una vulnerabilità zero-day in Windows Search può essere sfruttata per installare malware con l'apertura di un documento Word inviato via email.
Windows Search: bug consente l'esecuzione di malware
Una vulnerabilità zero-day in Windows Search può essere sfruttata per installare malware con l'apertura di un documento Word inviato via email.

Dopo quella nel Microsoft Support Diagnostic Tool, un’altra vulnerabilità zero-day permette di installare malware con l’apertura di un documento Word. Stavolta il bug si trova nella funzionalità Windows Search e può essere sfruttato attraverso l’invio di email di phishing. Dato che la patch non è stata ancora rilasciata, gli utenti devono utilizzare una soluzione di sicurezza efficace, come Avast Premium Security.

Problemi di protocollo in Windows

Il problema di sicurezza è dovuto al supporto del protocollo search-ms che consente alle applicazioni e ai link HTML di eseguire ricerche personalizzate sul dispositivo. Windows Search viene utilizzato spesso localmente, ma permette anche di cercare file condivisi su host remoti e l’uso di un titolo custom per la finestra di ricerca. Ad esempio, il seguente comando

search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

cerca le utility Sysinternals all’indirizzo live.sysinternals.com e le visualizza in Esplora file, impostando “Searching Sysinternals” come titolo della finestra. Lo stesso metodo può essere sfruttato per eseguire malware. È sufficiente nascondere il comando che apre la finestra Windows Search all’interno di un documento Word inviato come allegato di una email di phishing.

Analogamente alla vulnerabilità MSDT è possibile creare un documento RTF che apre automaticamente una finestra Windows Search (e quindi esegue il malware) quando è attiva l’anteprima in Esplora file. Al momento esiste solo un workaround, ovvero la cancellazione della chiave di registro relativa al protocollo search-ms. Microsoft non ha ancora rilasciato una patch, quindi è consigliabile l’uso di un antivirus che rileva e blocca eventuali malware.

Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
3 giu 2022
Link copiato negli appunti