Die 0-Tage-Operation „SearchNightmare“ ermöglicht es Ihnen, Schadsoftware über die Windows-Suche auszuführen, dank Microsoft Word mit Systemprivilegien. Eine schwerwiegende Schwachstelle im sogenannten „search-ms“-URI-Manager von Windows 7 bis Windows 11 lässt sich vorerst nur mit Hilfe einer alternativen Lösung über die Eingabeaufforderung eindämmen.
„SearchNightmare“ folgte „Follina“
Kurz nach der „Follina“-Schwachstelle CVE-2022-30190 im Diagnose-Tool des Microsoft-Supports folgt die neu entdeckte „SearchNightmare“-Schwachstelle, die bisher ohne eigenen Hinweis in Common Vulnerabilities and Exposures (CVE) auskommen musste hat auch eine von Microsoft veröffentlichte Problemumgehung.
- Microsoft Security Response Center: Anleitung zur Sicherheitsanfälligkeit im Microsoft Support-Diagnosetool (CVE-2022-30190)
Nach „ms-msdt“ kommt „search-ms“
Obwohl mit dem „Follina“-Exploit das URL-Protokoll „ms-msdt“ deaktiviert werden sollte, knüpft der neue Exploit mit „search-ms“ eine Sicherheitslücke an das „OLEObject“-Objektsystem.
Die Zero-Day-Schwachstelle ermöglicht es, dass sich beim Starten eines Word-Dokuments automatisch ein Suchfenster öffnet, in dem beispielsweise ferngesteuerte Schadsoftware ausgeführt werden kann.
Hacker und Sicherheitsexperte @hackerfantastic demonstrierte die Ausnutzung von Tag 0 am Beispiel von Windows 10 und Microsoft Word 2019. So ließe sich Schadsoftware beispielsweise auch aus der Ferne über Windows-Suchfenster verbreiten, die sich mit schädlichen Word-Dokumenten öffnen.
In weiteren Tweets demonstriert der Hacker auch, wie Day-0-Exploiting eingedämmt und der Search-ms-URI-Manager deaktiviert werden kann.
Schritte zur Risikominderung: 1. Führen Sie die Eingabeaufforderung als Administrator aus.2. Um den Registrierungsschlüssel zu sichern, führen Sie den Befehl „reg export HKEY_CLASSES_ROOT \ search-ms filename“ aus 3. Führen Sie den Befehl „reg delete HKEY_CLASSES_ROOT \ search-ms / f“ aus. pic.twitter.com/NYDp3txiIb
– hackerfantastic.crypto (@hackerfantastic) 1. Juni 2022
@Hackerfantastic unten zeigt die Vision eines betroffenen Benutzers und macht noch einmal deutlich, dass “SearchNightmare” die gleichen OLEObject-Protokolle wie CVE-2021-40444 und CVE-2022-30190-Schwachstellen verwendet, dies jedoch eine völlig unabhängige Schwachstelle ist. .
Das Ausmaß ist unbekannt
Während die Schwachstellenanalyse von Sicherheitsforschern und ein mögliches offizielles Statement von Microsoft in den kommenden Tagen mehr Aufschluss über das Ausmaß und die Schwere der Schwachstelle geben werden, hat die auf Sicherheitsfragen spezialisierte Website BleepingComputer die Exploitation von 0 Tage und Expertenmeinungen bereits gesammelt.
Auch Will Dormann, Schwachstellenanalyst bei CERT/CC, erklärte in einem Twitter-Post, dass „SearchNightmare“ zwei unterschiedliche Schwachstellen für Angriffe ausnutze. Wenn das Microsoft-Office-URI-Problem nicht behoben wird, könnten laut dem Sicherheitsexperten in Zukunft andere Protokoll-Handler missbraucht werden.
In Bezug auf „SearchNightmare“ sagte ein Microsoft-Sprecher gegenüber BleepingComputer, dass Dokumente unbekannter Herkunft jederzeit mit Vorsicht behandelt werden sollten.
Diese Social-Engineering-Technik erfordert, dass ein Benutzer ein schädliches Dokument ausführt und mit einer Liste ausführbarer Dateien in einer vom Angreifer angegebenen Netzwerkfreigabe interagiert. Wir empfehlen, dass Benutzer sichere Computergewohnheiten praktizieren und nur Dateien öffnen, die aus vertrauenswürdigen Quellen stammen.
Microsoft