Uma nova vulnerabilidade do protocolo de pesquisa do Windows também foi descoberta recentemente. Os invasores exploram essa vulnerabilidade por meio de documentos maliciosos do Word em seu PC.
O usuário do Twitter hackerfantastic.crypto descobriu e relatou pela primeira vez essa vulnerabilidade em que os invasores iniciam uma janela de pesquisa do Windows automaticamente sempre que o usuário abre um novo documento do Word. Essa janela de pesquisa falsa exibe as atualizações críticas e engana os usuários para instalar programas maliciosos em seus computadores Windows.
Uma nova vulnerabilidade de dia zero do Windows Search pode ser usada para abrir automaticamente uma janela de pesquisa contendo executáveis de malware hospedados remotamente simplesmente iniciando um documento do Word.
O problema de segurança pode ser aproveitado porque o Windows oferece suporte a um manipulador de protocolo URI chamado 'search-ms' que permite que aplicativos e links HTML iniciem pesquisas personalizadas em um dispositivo.
Embora a maioria das pesquisas do Windows procure no índice do dispositivo local, também é possível forçar o Windows Search a consultar compartilhamentos de arquivos em hosts remotos e usar um título personalizado para a janela de pesquisa.
Por exemplo, o popular conjunto de ferramentas Sysinternals permite que você monte remotamente live.sysinternals.com como um compartilhamento de rede para iniciar seus utilitários. Para pesquisar esse compartilhamento remoto e listar apenas os arquivos correspondentes a um nome específico, você pode usar o seguinte URI 'search-ms':
search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20SysinternalsComo você pode ver no comando acima, a variável search-ms 'crumb' especifica o local a ser pesquisado, e a variável 'displayname' especifica o título da pesquisa.
Uma janela de pesquisa personalizada aparecerá quando este comando for executado a partir de uma caixa de diálogo Executar ou barra de endereço do navegador da Web no Windows 7, Windows 10 e Windows 11, conforme mostrado abaixo.
Observe como o título da janela é definido para o nome de exibição 'Searching Sysinternals' que especificamos no URI search-ms.
Os agentes de ameaças podem usar essa mesma abordagem para ataques maliciosos, em que e-mails de phishing são enviados fingindo ser atualizações de segurança ou patches que precisam ser instalados.
Eles podem então configurar um compartilhamento remoto do Windows que pode ser usado para hospedar malware disfarçado de atualizações de segurança e incluir o URI search-ms em seus anexos de phishing ou emails.
No entanto, não seria fácil fazer um usuário clicar em uma URL como essa, principalmente quando ela exibe um aviso, conforme mostrado abaixo.
Proteja-se contra a vulnerabilidade do protocolo de pesquisa do Windows
Você pode evitar esse ataque simplesmente não interagindo com os links de atualização falsos exibidos, mas a melhor maneira é bloquear essas páginas de pesquisa do Windows controladas por invasores.
Você pode bloqueá-los via prompt de comando.
Pressione Ctrl+Esc para abrir a opção de pesquisa e digite CMD.
Clique em Executar como administrador e execute o comando para fazer backup da chave do Registro usando o seguinte comando:
reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg
Agora execute este comando para excluir a chave do registro:
reg delete HKEY_CLASSES_ROOT\search-ms /f
Feche o prompt de comando e reinicie seu sistema.