新的Windows搜索零日漏洞被曝出可被远程托管恶意软件利用

近期，有安全人员发现一个新的Windows Search零日漏洞，攻击者可以通过启动Word文档来加以利用。该漏洞允许将威胁行为者自动打开一个搜索窗口，会附带受感染系统上可供托管的恶意可执行文件。

因为Windows的URI协议处理程序“search-ms”可以通过利用应用程序和 HTML 链接在设备上进行自定义搜索，导致利用此漏洞是可能的。

虽然这个协议旨在促进使用本地设备索引的 Windows 搜索，但是黑客可以通过强制操作系统再远程主机上执行文件共享查询。

值得一提的是，威胁参与者还可以利用此漏洞为搜索窗口使用自定义标题。在成功的攻击中，攻击者可以通过配置远程Windows共享托管恶意软件，伪装成补丁或安全更新，达到将恶意 search-ms URI包含在网络钓鱼电子邮件或附件中的效果。

然而，让目标打开这样的链接对攻击者来说可能具有挑战性。同时，尝试打开URL会在系统上触发警告，提醒用户某个站点正在尝试访问Windows资源管理器。

在这样的情况下，用户需要使用单机附加按钮来认同他们的操作。然而，正如安全研究员 Matthew Hickey 证明的那样，将 search-ms 协议处理程序与另一个新发现的 Office OLEObject 漏洞配对可以让黑客通过简单地打开 Word 文档来启动自定义搜索窗口。

通过对漏洞的使用来诱导用户打开Word 文档，接着从自定义搜索窗口启动恶意可执行文件共享。攻击者可以将可执行文件伪装成关键的安全更新，进一步诱导用户在他们的系统上启动它。

更糟糕的是，Hickey 还展示了攻击者可以创建富文本格式 (RTF) 文件，通过资源管理器中的预览选项卡自动启动自定义 Windows 搜索窗口，不需要打开文档。

安全研究人员建议可以通过以下措施对新发现的漏洞来缓解攻击：

1、以管理员身份运行命令提示符

2、在CMD中运行reg export HKEY_CLASSES_ROOT\search-msfilename备份注册表项reg 3、在CMD中执行reg delete HKEY_CLASSES_ROOT\search-ms /f

Windows Search漏洞是在关键的Microsoft Office零日漏洞“Follina”出现后不久发现的。后者可以通过Microsoft诊断工具(MSDT)在PowerShell远程代码执行攻击中被利用。