Precis som dammet började lägga sig över de konstigt namngivna Follina sårbarhet…
… kom ytterligare ett noll-dagars säkerhetshål i Windows.
Ungefär.
Vi är inte övertygade om att den här är riktigt så dramatisk eller så farlig som några av rubrikerna tycks antyda (vilket är anledningen till att vi försiktigt lade till orden “typ” ovan), men vi är inte förvånade över att forskare för närvarande letar för nya sätt att missbruka de många proprietära URL-typerna i Windows.
URL-scheman har återbesökts
För att sammanfatta.
De Follina bugg, nu mer korrekt känd som CVE-2022-30190hänger på en konstig, icke-standard URL som stöds av Windows operativsystem.
Löst sett är de flesta webbadresser strukturerade så att de talar om för dig, eller programvaran du använder, vart du ska gå, hur du kommer dit och vad du ska fråga efter när du anländer.
Till exempel, webbadressen…
https://example.com/ask/forthis.item
… säger, “Använd schemat som heter https: för att ansluta till en server som heter example.com
och begär sedan en fil som kallas /ask/forthis.item
.”
På samma sätt, webbadressen…
file:///Users/duck/thisone.txt
… säger, “Leta efter en fil på den lokala datorn som heter thisone.txt
i katalogen /Users/duck
“.
Och URL:en…
ldap://192.169.1.79:8888/Runthis
… säger, “Gör en LDAP-sökning via TCP-port 8888 till servern 192.168.1.79
och sök efter ett objekt som kallas Runthis
.
Men Windows innehåller en lång lista med proprietära URL-scheman (bokstäverna upp till det första kolontecknet), även känd som protokollhanteraresom kan användas för att utlösa en rad icke-standardiserade aktiviteter helt enkelt genom att referera till den speciella URL:en.
Follina-felet, till exempel, drog fördel av URL-schemat ms-msdt:
som relaterar till systemdiagnostik.
Detta ms-msdt:
schema, som vi antar var vettigt när det implementerades även om det verkar dumdristigt nu, säger, “Kör Microsoft Support Diagnostic Tool”ett program som heter MSDT.EXE som är tänkt att leda dig genom en rad grundläggande steg när du felsöker en app som inte fungerar.
Men ett gäng cyberbrottslingar upptäckte att du kan missbruka ms-msdt:
protokollhanterare med hjälp av en URL inbäddad i ett dokument eller e-postmeddelande som öppnas av Outlook eller Office.
Med en skurk ms-msdt:
URL kan angripare inte bara tyst starta MSDT.EXE-appen på din dator, utan också mata den med en massa oseriös PowerShell-skriptkod för att tvinga dig att köra skadlig programvara som de väljer.
Istället för att hjälpa dig att felsöka din dator, utnyttjar skurkarna MSDT för att infektera den istället.
Webbadresserna du aldrig har hört talas om
Det visar sig att ms-msdt:
är inte det enda konstiga och underbara Windows-specifika URL-schema som Microsoft har drömt om.
Det finns många “hjälpare” URL-scheman, standard och icke-standard, anslutna till protokollhanterare via poster i Windows-registret.
Dessa registernycklar betyder att speciella åtgärder bör utlösas när någon försöker komma åt de relevanta webbadresserna.
Till exempel, som du vet av erfarenhet, tillgång till en https:
URL startar vanligtvis din webbläsare, om den inte redan körs.
Och, som vi förklarade ovan, besöka en ms-msdt:
URL startar MSDT.EXE, även om vi misstänker att väldigt få människor visste det före början av denna vecka. (Det gjorde vi inte – vi hade aldrig använt eller ens sett en URL av den typen innan Follina-berättelsen bröts.)
Tja, en cybersäkerhetsforskare känd som @hackerfantastiskt har upptäckt ett Windows URL-schema som heter search-ms:
det kunde liksom ms-msdt:
missbrukas för cyberbrottslig förräderi.
Som vi redan har sagt är vi inte helt övertygade om att detta ligger i vad vi skulle kalla “zero-day exploit”-territorium, eftersom det inte leder direkt till oväntad fjärrkörning av kod…
…men vi accepterar att det är ett nära samtal och att du kanske vill blockera denna speciella URL från att fungera i framtiden.
Tricket “Sök URL”.
Enkelt uttryckt, search-ms:
Webbadresser dyker upp och gör en Windows-sökning automatiskt, som om du själv hade klickat på förstoringsglaset i aktivitetsfältet, skrivit in text som du valt och väntat på resultatet.
Och genom att bädda in den här typen av URL i ett dokument som en DOC- eller RTF-fil, på ungefär samma sätt som Follina-tricket gjordes, kan en angripare därför locka dig att öppna ett dokument och sedan automatiskt poppa upp en officiell- letar lista över sökresultat i samband med den:
Microsoft Office 2019 / Windows 10 / sök-ms: URI-hanterare exploatering och steg efter exploatering till SYSTEM. pic.twitter.com/r512uF3vQ4
— hackerfantastic.crypto (@hackerfantastic) 1 juni 2022
Angriparna som bäddar in den speciella URL:en i det booby-fällda dokumentet får i förväg välja vad som ska visas i titeln på sökfältet och vilka filer som ska visas.
Filerna som dyker upp behöver inte vara lokalt lagrade filer som t.ex C:Usersduckmypreso.ppt
men kan vara fjärrfiler (UNC-sökvägar) som t.ex \live.sysinternals.compsshutdown.exe
eller \example.orgdodgy.exe
.
Naturligtvis startar detta inte automatiskt de kränkande filerna, vilket är anledningen till att vi bara betraktar detta som en “typ av” nolldag.
Du behöver fortfarande välja en av filerna, dubbelklicka för att köra den och reagera på en säkerhetsvarning, som du ser i Twitter-videon ovan.
Ändå försätter det här tricket dig verkligen mycket mer trovärdigt i fara än en gammaldags e-postlur med misstänkt utseende webblänkar.
Fönstret som dyker upp är inte en webbläsare eller en e-postklient.
Istället ser det ut precis som det du skulle se om du gjorde en vanlig sökning på din lokala dator, och innehåller inget som ser ut som en traditionell webblänk.
Vad ska man göra?
- Öppna aldrig filer utan att dubbelkolla deras namn. Anta inte att filer som dyker upp i en Windows-sökningsdialogruta är lokala filer som du kan lita på, särskilt om sökningen inte är en som du har initierat avsiktligt själv. Om du är osäker, lämna det!
- Aktivera Windows-alternativet för att visa filtillägg. Irriterande nog undertrycker Windows filtillägg som standard, så att en fil som t.ex
risky.exe
dyker upp bara somrisky
. Detta innebär att en fil avsiktligt bytt namn tillreadme.txt.exe
slutar uppenbarligen felmärkt som oskyldigt utseendereadme.txt
. Öppna Utforskaren och gå till Se > Filnamnstillägg. - Kom ihåg att fjärrfilnamn inte är lika självklara som webblänkar. Windows låter dig komma åt filer med enhetsbeteckning eller UNC-sökväg. En UNC-sökväg refererar ofta till ett servernamn på ditt eget nätverk, t.ex
\MAINSRV
men kan lika gärna hänvisa till fjärrservrar på internet, som t.ex\files.example.com
eller\198.51.100.42
. Om du dubbelklickar på en fjärrfil som anges som en UNC-sökväg kommer den inte bara att laddas ner i bakgrunden från den angivna servern, utan även starta den automatiskt när den väl har anlänt. - Överväg att ta bort registerposten
HKEY_CLASSES_ROOTsearch-ms
. Detta är en liknande begränsning som den används för Follina-feletdär du tar bortms-msdt
inträde istället. Detta bryter den magiska kopplingen mellan att klicka på ensearch-ms:
URL och aktiveringen av sökfönstret. Efter att ha raderat registerposten,search-ms:
Webbadresser har ingen speciell betydelse och utlöser därför ingenting. - Övervaka den här ytan. Vi kommer inte att bli förvånade om andra proprietära Windows-URL:er kommer till cybersäkerhetsnyheterna under de närmaste dagarna eller veckorna, pressas in i tjänst för slingrande eller till och med direkt destruktiva syften av cyberbrottslingar, eller helt enkelt bara avslöjas av forskare som försöker tänja på systemets gränser. som det står.
.
#Ännu #nolldagars #typ #hantering #Windows #sök #URL