Windows-sårbarhet aktiveres når du åpner Word-dokumenter

Forskere oppdaget en ny en null-dagers sårbarhet som tillater ekstern kjøring av skadelig programvare. Problemet var en Uniform Resource Identifier (URI) kalt search-ms, som lar programmer og lenker kjøre søk på datamaskinen.

Moderne versjoner av systemet, inkludert Windows 11, 10 og 7, lar Windows Search bla gjennom filer lokalt og på eksterne verter. En angriper kan bruke en protokollbehandler for å lage for eksempel en falsk senterkatalog Windows oppdaterer og lurer brukeren til å åpne skadevare forkledd som Oppdater. Moderne reagerer imidlertid vanligvis på slike filer og advarer brukeren, så det er liten sjanse for å få et klikk på denne måten. Men svindlere har oppdaget andre måter å utnytte denne sårbarheten på.

Som det viste seg, kan search-ms-protokollbehandleren kombineres med en sårbarhet i Microsoft Office OLEObject, oppdaget enda tidligere. Den lar deg omgå nettleserbeskyttelse og kjøre URI-protokollbehandlere uten brukerinteraksjon.

En demonstrasjon av denne metoden dukket opp på YouTube: en MS Word-fil ble brukt til å starte en annen applikasjon - i dette tilfellet en kalkulator. Fordi search-ms lar deg endre navnet på søkeboksen, kan hackere maskere grensesnittet for å villede ofrene sine.

Lignende kan bli oppnådd og med RTF-dokumenter. I dette tilfellet trenger du ikke engang å starte Word. Et nytt søkevindu åpnes når Explorer gjengir en forhåndsvisning av en fil i forhåndsvisningsruten.

Microsoft har instruksjoner om hvordan du løser dette sikkerhetsproblemet. Fjerning av search-ms-protokollbehandleren fra Windows-registret vil bidra til å beskytte systemet. For dette:

• Trykk Win + R, skriv inn cmd og trykk Ctrl + Shift + Enter for å starte kommandoprompt med administratorrettigheter.
• Tast inn reg eksport HKEY_CLASSES_ROOT\search-ms search-ms.reg og trykk Enter for å sikkerhetskopiere nøkkelen.
• Gå inn etter det reg slett HKEY_CLASSES_ROOT\search-ms /f og trykk Enter for å fjerne nøkkelen fra registeret.

Microsoft allerede virker fikse sårbarheter i protokollbehandlere og relaterte Windows-funksjoner. Eksperter sier imidlertid at hackere vil finne andre utnyttelsesbehandlere, og Microsoft bør i stedet forhindre URL-behandlere fra å kjøre i Office-applikasjoner uten å spørre bruker.