Die 0-Tage-Exploration „SearchNightmare“ ermöglicht es Ihnen, Malware auszuführen, indem Sie Windows dank Microsoft Word mit Systemprivilegien durchsuchen. Eine schwerwiegende Schwachstelle im sogenannten URI-Manipulator „search-ms“ von Windows 7 bis Windows 11 lässt sich derzeit nur mit Hilfe eines Workarounds über die Kommandozeile umgehen.
SearchNightmare folgt Follina
Die neu entdeckte SearchNightmare-Schwachstelle, die bisher ohne eigenen Hinweis in Common Vulnerabilities and Exposures (CVE) behandelt werden musste, folgt kurz nach der Follina-Schwachstelle CVE-2022-30190 im Microsoft Support Diagnostic Tool, die ebenfalls über einen Workaround verfügt. veröffentlicht von Microsoft.
- Microsoft Security Response Center: Leitfaden zu Schwachstellen im Microsoft Support-Diagnosetool (CVE-2022-30190)
Nach „ms-msdt“ kommt „search-ms“
Während beim Exploit „Follina“ das URL-Protokoll „ms-msdt“ deaktiviert werden musste, verbindet der neue Exploit eine Sicherheitslücke im Objektsystem „OLEObject“ mit dem Protokollhandler „search-ms“.
Die Zero-Day-Schwachstelle ermöglicht es, beim Starten eines Word-Dokuments ein automatisches Suchfenster zu öffnen, das beispielsweise ferngesteuerte Malware ausführen kann.
Hacker und Sicherheitsexperte @hackerfantastic demonstrierte den 0-Day-Exploit am Beispiel von Windows 10 und Microsoft Word 2019. So kann beispielsweise Malware auch aus der Ferne über Windows-Suchfenster verbreitet werden, die sich aus schädlichen Word-Dokumenten öffnen.
In anderen Tweets demonstrierte der Hacker auch, wie der 0-Day-Exploit verzögert und die Search-ms-URI deaktiviert werden könnte.
Abhilfemaßnahmen: 1. Führen Sie die Befehlszeile als Administrator aus.2. Um den Registrierungsschlüssel zu sichern, führen Sie den Befehl „reg export HKEY_CLASSES_ROOT \ search-ms filename“ aus 3. Führen Sie den Befehl „reg delete HKEY_CLASSES_ROOT \ search-ms / f“ aus. pic.twitter.com/NYDp3txiIb
– hackerfantastic.crypto (@hackerfantastic) 1. Juni 2022
Nachfolgend zeigt @hackerfantastic die Sicht des betroffenen Nutzers und macht noch einmal deutlich, dass SearchNightmare die gleichen OLEObject-Protokolle verwendet wie die Schwachstellen CVE-2021-40444 und CVE-2022-30190, es sich hierbei aber um eine völlig eigenständige Schwachstelle handelt.
Der Umfang ist noch nicht bekannt
Während die Schwachstellenanalyse von Sicherheitsforschern und ein mögliches offizielles Statement von Microsoft in den nächsten Tagen mehr Aufschluss über das Ausmaß und die Schwere der Schwachstelle geben werden, hat die auf Sicherheitsfragen spezialisierte Website BleepingComputer den 0-Day-Exploit überprüft und gesammelt Experten Meinungen.
Will Dorman, Schwachstellenanalyst bei CERT/CC, erklärte in einem Twitter-Beitrag außerdem, dass SearchNightmare zwei verschiedene Schwachstellen zum Angriff nutzt. Wenn das URI-Problem von Microsoft Office nicht gelöst wird, könnten in Zukunft weitere Protokollhandler missbraucht werden, so der Sicherheitsexperte.
In Bezug auf SearchNightmare sagte ein Microsoft-Sprecher zu BleepingComputer, dass Dokumente unbekannter Herkunft jederzeit mit Sorgfalt behandelt werden sollten.
Diese Social-Engineering-Technik erfordert, dass der Benutzer ein schädliches Dokument ausführt und mit einer Liste ausführbarer Dateien von einer vom Angreifer angegebenen Netzwerkfreigabe interagiert. Wir empfehlen, dass Benutzer sichere Computergewohnheiten praktizieren und nur Dateien öffnen, die aus vertrauenswürdigen Quellen stammen.
Microsoft
Add Comment