Dopo quella nel Microsoft Support Diagnostic Tool, un’altra vulnerabilità zero-day permette di installare malware con l’apertura di un documento Word. Stavolta il bug si trova nella funzionalità Windows Search e può essere sfruttato attraverso l’invio di email di phishing. Dato che la patch non è stata ancora rilasciata, gli utenti devono utilizzare una soluzione di sicurezza efficace, come Avast Premium Security.
Problemi di protocollo in Windows
Il problema di sicurezza è dovuto al supporto del protocollo search-ms
che consente alle applicazioni e ai link HTML di eseguire ricerche personalizzate sul dispositivo. Windows Search viene utilizzato spesso localmente, ma permette anche di cercare file condivisi su host remoti e l’uso di un titolo custom per la finestra di ricerca. Ad esempio, il seguente comando
search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
cerca le utility Sysinternals all’indirizzo live.sysinternals.com
e le visualizza in Esplora file, impostando “Searching Sysinternals” come titolo della finestra. Lo stesso metodo può essere sfruttato per eseguire malware. È sufficiente nascondere il comando che apre la finestra Windows Search all’interno di un documento Word inviato come allegato di una email di phishing.
Microsoft Office search-ms: URI handler exploitation, requires user-interaction. Unpatched. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.x (@hackerfantastic) June 1, 2022
Analogamente alla vulnerabilità MSDT è possibile creare un documento RTF che apre automaticamente una finestra Windows Search (e quindi esegue il malware) quando è attiva l’anteprima in Esplora file. Al momento esiste solo un workaround, ovvero la cancellazione della chiave di registro relativa al protocollo search-ms
. Microsoft non ha ancora rilasciato una patch, quindi è consigliabile l’uso di un antivirus che rileva e blocca eventuali malware.