一个新的Windows搜索零日漏洞让微软又一个安全问题

当协同使用时，最近发现的两个Windows漏洞允许威胁参与者在目标端点上运行恶意软件(在新标签中打开)，研究人员发现。这两个漏洞是WindowsSearch零日漏洞和MicrosoftOfficeOLEObject漏洞。

通过使用武器化的Word文档，搜索零日漏洞可用于自动打开带有远程托管恶意软件的搜索窗口。由于Windows如何处理称为“search-ms”的URI协议处理程序，这成为可能。

分享您对网络安全的看法，并免费获得《2022年黑客手册》。帮助我们了解企业如何为后Covid世界做准备，以及这些活动对其网络安全计划的影响。在本次调查结束时输入您的电子邮件以获取价值10.99美元/10.99英镑的bookazine。

该协议允许应用程序和HTML链接启动自定义搜索。问题是Windows会警告受害者该站点正在尝试打开Windows资源管理器，可能会提醒他们中的大多数人有问题。

然而，HackerHouse联合创始人兼安全研究员MatthewHickey发现，通过将此漏洞与MicrosoftOfficeOLEObject漏洞配对，只需打开Word文档即可打开搜索窗口。

长话短说，骗子可以通过网络钓鱼电子邮件获取武器化的Word文档，一旦受害者打开它，就会弹出一个自定义的Windows搜索页面，其中包含远程托管的恶意软件。

BleepingComputer警告说，该共享可以带有攻击者想要的任何名称，包括“关键更新”之类的名称。

幸运的是，有一种方法可以减轻威胁，方法是从Windows注册表中删除search-ms协议处理程序。为此，请以管理员身份运行CMD，然后运行以下命令：“regdeleteHKEY_CLASSES_ROOT\search-ms/f”。

如今，滥用URI协议处理程序似乎很流行，正如本周早些时候，研究人员发现网络骗子滥用MicrosoftWindows支持诊断工具(MSDT)中发现的此类缺陷。借助武器化的Word文档，可以启动“ms-msdt”URI协议处理程序，进而可以执行任何PowerShell命令。

这个被称为“Follina”的漏洞被发现被中国国家支持的攻击者用来攻击国际藏人社区。