Tras informar acerca de la vulnerabilidad encontrada en la herramienta de diagnóstico de soporte de Windows, los investigadores han descubierto otro Día 0 que permite establecer conexión con malware alojados de forma remota. De acuerdo al informe, el problema radica en un indicador uniforme de recursos llamado «search-ms», el cual permite que las aplicaciones u los enlaces inicien búsquedas automáticas en los ordenadores.
Al menos se ha comprobado que en Windows 11, 10 y 7, la función Windows Search inicia búsquedas locales y además en host remotos. El atacante puede configurar un identificador con la dirección del host remoto y el nombre que debe mostrar para que aparezca en la barra de titulo de la ventana de búsqueda. Windows puede iniciar ventanas de búsqueda personalizadas utilizando varios métodos, como un navegador web o Ejecutar (Win + R).
Descubren otro Día 0 en Windows
Los atacantes pueden utilizar el controlador de protocolo para crear un directorio falso de Windows Update y así engañar a las victimas para que descargue una supuesta legitima actualización, pero en verdad lo que está descargando es un malware que filtrará sus datos.
Sin embargo, la ejecución de esta acción requiere de la ayuda de los navegadores modernos, como Microsoft Edge, Google Chrome, Firefox etc.
El atacante puede combinar el controlador de protocolo search-ms con la nueva vulnerabilidad encontrada con la ayuda del complemento de Microsoft Office. Esto permite omitir la vista protegida e iniciar el controlador del protocolo establecido anteriormente.
El usuario @hackerfantastic ha realizado una pequeña demostración en donde crea un documento de Word el cual abre de forma automática una ventana de búsqueda de Windows y se conecta a un SMB remoto:
Microsoft Office search-ms: URI handler exploitation, requires user-interaction. Unpatched. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) June 1, 2022
Debido a que search-ms permite cambiar el nombre de las ventanas de búsqueda, los piratas informáticos pueden preparar búsquedas «personalizadas» para engañar a sus objetivos.
En otra prueba realizada con un documento RTF, hace exactamente lo mismo. Esta vez, ni siquiera requiere iniciar Word, se abre una nueva ventana de búsqueda cuando el Explorador de archivos crea una vista previa en el Panel de vista previa.
Here is the same search-ms attack being leveraged through an RTF document when Windows Preview Pane is enabled… 😉 pic.twitter.com/AmOeGWltjm
— hackerfantastic.crypto (@hackerfantastic) June 1, 2022
Cómo se pueden proteger los usuarios
Los usuarios se pueden proteger siguiendo las indicaciones de la propia Microsoft, y es eliminar el controlador de protocolo search-ms del Registro de Windows, esto ayudará a mitigar la vulnerabilidad y asegurará el sistema:
- Presione Win + R , escriba cmd y presione Ctrl + Shift + Enter para ejecutar el símbolo del sistema como administrador.
- Escriba reg export y presione Entrar para crear una copia de seguridad de la clave.HKEY_CLASSES_ROOT\search-ms search-ms.reg
- Escriba reg delete HKEY_CLASSES_ROOT\search-ms /f y presione Entrar para eliminar la clave del Registro de Windows.
Actualmente Microsoft se encuentra trabajando contra el reloj para tratar de solucionar las vulnerabilidades que recientemente han sido encontradas en Windows.
