Phát hiện lỗ hổng nghiêm trọng mới trong giao thức tìm kiếm trên Windows

Một lỗ hổng mới của Windows Search có thể bị lợi dụng để tự động mở cửa sổ tìm kiếm chứa các tệp thực thi mã độc lưu trữ từ xa chỉ bằng cách khởi chạy một tài liệu Word.

Vấn đề bảo mật này có thể bị hacker lạm dụng vì Windows hỗ trợ trình xử lý giao thức URI có tên là "search-ms" cho phép các ứng dụng và liên kết HTML khởi chạy các tìm kiếm tùy chỉnh trên thiết bị.

Chúng ta có thể buộc Windows Search truy vấn chia sẻ tệp trên các máy chủ từ xa và sử dụng tiêu đề tùy chỉnh cho cửa sổ tìm kiếm mặc dù hầu hết các tìm kiếm trên Windows sẽ dựa trên chỉ mục cục bộ của thiết bị.

Ví dụ: Bộ công cụ Sysinternals cho phép bạn mount từ xa live.sysinternals.com làm mạng chia sẻ để khởi chạy các tiện ích của chúng. Để tìm kiếm chia sẻ từ xa này và chỉ liệt kê các tệp phù hợp với một tên cụ thể, bạn có thể sử dụng URI "search-ms" sau

search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

Như bạn có thể thấy trong lệnh trên, biến search-ms "crumb" chỉ định vị trí cần tìm kiếm và biến "displayname" chỉ định tiêu đề tìm kiếm.

Cửa sổ tìm kiếm tùy chỉnh sẽ xuất hiện khi lệnh này được thực thi từ Run hoặc thanh địa chỉ trình duyệt web trên Windows 7, Windows 10 và Windows 11 giống như hình bên dưới đây:

Lưu ý cách tiêu đề cửa sổ được đặt thành tên hiển thị "Searching Sysinternals" mà chúng tôi đã chỉ định trong URI search-ms.

Hacker có thể sử dụng phương pháp tương tự này cho các cuộc tấn công mạng. Trong đó, chúng có thể gắn các tài liệu độc hại giả mạo các bản cập nhật hoặc bản vá bảo mật cần được cài đặt vào email rồi gửi đi.

Ngoài ra, chúng có thể thiết lập chia sẻ Windows từ xa để lưu mã độc ngụy trang dưới dạng các bản cập nhật sau đó đưa URI search-ms vào các email lừa đảo của chúng.

Tuy nhiên, sẽ không dễ để lừa người dùng nhấp vào một URL như vậy, đặc biệt là khi có xuất hiện cảnh báo mỗi khi nhấp như thế này:

Nhưng đồng sáng lập kiêm nhà nghiên cứu bảo mật của hãng Hacker House, Matthew Hickey, đã tìm ra cách tấn công hiệu quả hơn. Khi kết hợp lỗ hổng Microsoft Office OLEObject mới được phát hiện với trình xử lý giao thức search-ms, hacker có thể mở cửa sổ tìm kiếm từ xa chỉ bằng cách khởi chạy một tài liệu Word.

Theo The HackerNews