Windows-kwetsbaarheid wordt geactiveerd bij het openen van Word-documenten
Gemengde Berichten / / June 02, 2022
In feite is dit een exploit van twee kwetsbaarheden tegelijk. Microsoft heeft het beveiligingslek nog niet gedicht, maar het heeft u verteld hoe u uw computer kunt beschermen.
Onderzoekers ontdekt een nieuwe zero-day kwetsbaarheid waarmee malware op afstand kan worden uitgevoerd. Het probleem was een Uniform Resource Identifier (URI) genaamd search-ms, waarmee applicaties en links zoekopdrachten op de computer kunnen uitvoeren.
Met moderne versies van het systeem, waaronder Windows 11, 10 en 7, kan Windows Search lokaal en op externe hosts door bestanden bladeren. Een aanvaller kan een protocolhandler gebruiken om bijvoorbeeld een valse Center-directory te maken Windows-updates en misleiden de gebruiker om malware te openen vermomd als update. Moderne reageren echter meestal op dergelijke bestanden en waarschuwen de gebruiker, dus er is weinig kans op een klik op deze manier. Maar oplichters hebben andere manieren ontdekt om dit beveiligingslek te misbruiken.
Het bleek dat de zoek-ms-protocol-handler kan worden gecombineerd met een kwetsbaarheid in Microsoft Office OLEObject, zelfs eerder ontdekt. Hiermee kunt u de browserbeveiliging omzeilen en URI-protocolhandlers uitvoeren zonder gebruikersinteractie.
Een demonstratie van deze methode verscheen op YouTube: een MS Word-bestand werd gebruikt om een andere applicatie te starten - in dit geval een rekenmachine. Omdat je met search-ms de naam van het zoekvak kunt wijzigen, kunnen hackers de interface maskeren om hun slachtoffers te misleiden.
Vergelijkbaar kan worden behaald en met RTF-documenten. In dit geval hoeft u Word niet eens te starten. Er wordt een nieuw zoekvenster geopend wanneer Explorer een voorbeeld van een bestand in het voorbeeldvenster weergeeft.
Microsoft heeft instructies voor het oplossen van dit beveiligingslek. Door de zoek-ms-protocolhandler uit het Windows-register te verwijderen, wordt het systeem beter beschermd. Voor deze:
- Druk op Win + R, typ cmd en druk op Ctrl + Shift + Enter om de opdrachtprompt met beheerdersrechten te starten.
- Binnenkomen
reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg
en druk op Enter om een back-up van de sleutel te maken. - Voer daarna in
reg delete HKEY_CLASSES_ROOT\search-ms /f
en druk op Enter om de sleutel uit het register te verwijderen.
Microsoft al werken repareren van kwetsbaarheden in protocol-handlers en gerelateerde Windows-functies. Experts zeggen echter dat hackers andere exploit-handlers zullen vinden, en Microsoft zou in plaats daarvan moeten voorkomen dat URL-handlers worden uitgevoerd in Office-toepassingen zonder dat daarom wordt gevraagd gebruiker.
Lees ook🧐
- Door een gat in Microsoft Defender kunnen aanvallers eenvoudig de Windows-beveiliging omzeilen
- Gmail verspreidt een virus onder het mom van reguliere documenten
- Er is een ernstige kwetsbaarheid gevonden in de 7-Zip archiver voor Windows
Beste deals van de week: kortingen van AliExpress, L'Etoile, GAP en andere winkels