プロトコルの脆弱性により、Wordファイルを開くだけで悪意のあるWindows検索を実行できます

Microsoft Support Diagnostic Toolの脆弱性の報告に続いて、研究者は、リモートでホストされているマルウェアへの接続を可能にする可能性のある別のゼロデイ脆弱性を発見しました。問題は、「search-ms」と呼ばれるURI（Uniform Resource Identifier）にあります。これは、アプリケーションとリンクがコンピューター上で検索を実行できるようにする役割を果たします。

11、10、7などの最新バージョンのWindowsでは、WindowsSearchでローカルおよびリモートサイトのファイルを参照できます。ユーザーは、検索ボックスのタイトルバーに表示されるリモートホストアドレスと表示名を使用してURIを設定できます。Windowsは、Webブラウザーや実行（Win + R）などのさまざまな方法を使用して、パーソナライズされた検索ウィンドウを起動できます。

BleepingComputerは、攻撃者がプロトコルハンドラーを使用して、たとえば偽のWindows Updateカタログを作成し、ユーザーをだまして正規の更新プログラムを装ったマルウェアをクリックさせる可能性があると報告しています。ただし、実行にはターゲットからのアクションが必要であり、MicrosoftEdgeなどの最新のブラウザーには追加のセキュリティ警告があります。ここで他の欠点が現れ始めます。

結局のところ、search-msプロトコルハンドラーは、MicrosoftOfficeOLEObjectの新しい脆弱性と組み合わせることができます。これにより、保護されたブラウジングをバイパスし、ユーザーの操作なしでURIプロトコルハンドラーを実行できます。@hackerfantasticは、Windowsの検索ボックスを自動的に開き、リモートSMBに接続するWord文書を作成することで、このアイデアを示しました。search-msを使用すると検索ボックスの名前を変更できるため、ハッカーは「パーソナライズされた」検索を準備して、ターゲットを誤解させる可能性があります。

別の概念実証は、同じことを行うRTFドキュメントを示しています。今回は、Wordを起動する必要はありません。Explorerがプレビューペインにプレビューを作成すると、新しい検索ウィンドウが起動します。

ユーザーは、MSDTの脆弱性を修正するためのマイクロソフトの推奨事項に従うことにより、システムの保護に役立てることができます。Windowsレジストリからsearch-msプロトコルハンドラを削除すると、システムを保護するのに役立ちます。

• Win + Rを押し、cmdと入力し、Ctrl + Shift + Enterを押して、管理者としてコマンドプロンプトを実行します。
• reg export HKEY_CLASSES_ROOT \ search-ms search-ms.regと入力し、Enterキーを押してキーをバックアップします。
• reg delete HKEY_CLASSES_ROOT \ search-ms / fと入力し、Enterキーを押して、Windowsレジストリからキーを削除します。

Microsoftは、プロトコルハンドラーおよび関連するWindows機能の脆弱性の修正に取り組んでいます。ただし、専門家によると、ハッカーは使用する他のハンドラーを見つけるため、Microsoftは、ユーザーの操作なしにURLハンドラーをOfficeアプリケーションで実行できないようにすることに重点を置く必要があります。昨年、Microsoftが研究者が他の脆弱性を見つけるためだけに1つのコンポーネントにパッチを適用したとき、同様の状況がPrintNightmareで発生しました。