Обнаружена уязвимость, которая позволяет подключаться к удаленно размещенным вредоносным программам. Проблема заключается в универсальном идентификаторе ресурса (URI) под названием «search-ms», который отвечает за разрешение приложениям и ссылкам запускать поиск на компьютере.

Современные версии Windows 11, 10 и 7, позволяют Windows Search просматривать файлы локально и на удаленных узлах. Пользователь может установить URI с адресом удаленного хоста и отображаемым именем, которое будет отображаться в строке заголовка окна поиска. Windows может запускать окна персонализированного поиска с помощью различных методов, таких как веб-браузер или «Выполнить» (Win + R).

BleepingComputer сообщает, что злоумышленник может использовать обработчик протокола для создания, например, поддельного каталога Центра обновления Windows и обманом заставить пользователя щелкнуть вредоносное ПО, замаскированное под официальное обновление. 

Обработчик протокола search-ms можно совместить с новой уязвимостью в Microsoft Office OLEObject. Уязвимость позволяет обходить защищенный просмотр и запускать обработчики протокола URI без взаимодействия с пользователем. @hackerfantastic продемонстрировал эту идею, создав документ Word, который автоматически открывает окно поиска Windows и подключается к удаленному SMB. Поскольку search-ms позволяет переименовывать окна поиска, хакеры могут подготовить «персонализированный» поиск, чтобы ввести в заблуждение свои цели.

Другое доказательство концепции показывает документ RTF, который делает то же самое. На этот раз даже не требуется запускать Word. Новое окно поиска запускается, когда проводник создает предварительный просмотр на панели предварительного просмотра.

Пользователи могут защитить свои системы, выполнив рекомендации Microsoft по устранению уязвимости MSDT. Удаление обработчика протокола search-ms из реестра Windows поможет защитить систему:

1. Нажмите Win + R , введите cmd и нажмите Ctrl + Shift + Enter, чтобы запустить командную строку от имени администратора.
2. Введите reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg и нажмите Enter, чтобы создать резервную копию ключа.
3. Введите reg delete HKEY_CLASSES_ROOT\search-ms /f и нажмите Enter, чтобы удалить ключ из реестра Windows.

Компания Microsoft работает над устранением уязвимостей в обработчиках протоколов и связанных с ними функций Windows. Эксперты утверждают, что Microsoft следует сосредоточиться на том, чтобы сделать невозможным запуск обработчиков URL-адресов в приложениях Office без взаимодействия с пользователем.