Suite au récent Follina zero-day, une nouvelle vulnérabilité Windows Search a été découverte qui peut être utilisée pour distribuer facilement malware aux utilisateurs sans méfiance.
De la même manière que Follina exploite l’URL Windows propriétaire « ms-msdt : » pour ouvrir l’outil de diagnostic de support Microsoft Windows (MSDT), cet exploit utilise « search-ms : » pour ouvrir la recherche Windows.
Tel que rapporté par BipOrdinateur (s’ouvre dans un nouvel onglet) et découvert pour la première fois par un chercheur en sécurité hackerfantastique (s’ouvre dans un nouvel onglet), un document Word militarisé peut être utilisé pour lancer automatiquement « search-ms : » et afficher une fenêtre de recherche Windows sur l’ordinateur d’un utilisateur. Cependant, en plus des fichiers locaux, Windows Search peut également afficher des fichiers distants hébergés sur un autre système.
C’est ici que ingénierie sociale entre en jeu car un attaquant pourrait distribuer un fichier Word malveillant qui utilise cet exploit pour afficher les logiciels malveillants dans une fenêtre de recherche Windows. Un utilisateur peu méfiant peut cliquer sur l’un de ces fichiers distants, en particulier si l’e-mail de phishing utilisé pour livrer le document Word initial le convainc qu’il doit mettre à jour ou corriger son logiciel.
Pour aggraver les choses, le serveur distant contenant ces fichiers peut être nommé comme un attaquant le souhaite, y compris « Mises à jour importantes », ce qui pourrait convaincre un utilisateur de cliquer dessus.
Exploitation des URL spécifiques à Windows
Bien que la plupart des utilisateurs de Windows ne soient probablement pas conscients de cela, il existe en fait de nombreux schémas d’URL spécifiques à Windows.
« ms-msdt : » et « search-ms : » ne sont que deux exemples, bien qu’il y en ait d’autres qui sont connectés aux gestionnaires de protocole via des entrées dans le Registre Windows. Ces clés de registre indiquent que des actions spéciales doivent être déclenchées lorsqu’un utilisateur tente d’accéder à l’une de ces URL.
Par exemple, comme la plupart des gens le savent, cliquer sur une URL qui commence par « https : » lancera votre navigateur par défaut s’il n’est pas déjà ouvert. Ces URL spécifiques à Windows fonctionnent à peu près de la même manière, mais le font dans votre système d’exploitation.
Maintenant que « ms-msdt » est activement utilisé dans les attaques des cybercriminels, il ne leur faudra probablement pas longtemps pour commencer à tirer parti de « search-ms » dans leurs futures campagnes.
Comment se protéger des attaques à l’aide de cet exploit
Bien que cette nouvelle vulnérabilité ne soit pas exactement un exploit zero-day puisqu’elle ne conduit pas directement à l’exécution inattendue de code à distance, comme le souligne Sophos dans un nouveau article de blog (s’ouvre dans un nouvel onglet), c’est encore suffisamment préoccupant pour que de nombreux utilisateurs et entreprises veuillent probablement prendre des mesures pour éviter d’être victimes d’attaques qui en tirent parti. Heureusement, vous pouvez prendre quelques mesures pour y parvenir.
De la même manière que Microsoft Solution de contournement Follina (s’ouvre dans un nouvel onglet) implique la suppression de l’entrée de registre pour « ms-msdt : », vous pouvez également faire la même chose pour « search-ms : ». Vous devrez d’abord courir Invite de commandes comme Administrateur pour commencer. Ensuite, vous devez utiliser la commande reg export HKEY_CLASSES_ROOTsearch-ms search-ms.reg pour sauvegarder la clé de registre de votre système avant d’exécuter la commande reg supprimer HKEY_CLASSES_ROOTsearch-ms /f. Cela interrompra la connexion qui active la recherche Windows lorsque vous tapez « search-ms : » dans votre barre d’adresse.
Si vous ne parvenez pas à le faire, Sophos propose d’autres conseils qui peuvent vous aider à éviter d’être victime d’attaques exploitant cette vulnérabilité. Tout d’abord, vous ne devez jamais ouvrir de fichiers sans revérifier leurs noms de fichiers et éviter de supposer que les fichiers qui s’affichent dans Windows Search sont des fichiers locaux.
Dans le même temps, les noms de fichiers distants ne sont pas aussi évidents que les liens Web puisque Windows permet aux utilisateurs d’accéder aux fichiers par lettre de lecteur ou par chemin UNC. Un chemin UNC fait souvent référence à un nom de serveur sur votre réseau domestique, mais peut également faire référence à des serveurs distants sur Internet. Une fois que vous avez double-cliqué sur un fichier distant spécifié comme chemin UNC, il sera non seulement téléchargé mais se lancera également automatiquement une fois le téléchargement terminé.