Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 3 Giugno 2022 09:03
Una nuova vulnerabilità 0day su Windows può essere utilizzata per aprire automaticamente una casella di ricerca e avviare malware da remoto, operazione facilmente eseguibile semplicemente aprendo un documento di Word.
Bleeping Computer afferma che il problema è serio perché Windows supporta il gestore URI del protocollo search-ms, che consente alle app e ai collegamenti HTML di eseguire ricerche personalizzate sul dispositivo.
E mentre la maggior parte delle ricerche eseguirà la ricerca sul dispositivo locale, è anche possibile forzare la ricerca di Windows a eseguire query su condivisioni di file su host remoti e utilizzare un titolo personalizzato per la casella di ricerca.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Ad esempio, Sysinternals consente di montare da remoto live.sysinternals.com come condivisione di rete per eseguire le sue utilità. Per trovare questa condivisione remota ed elencare solo i file che corrispondono a un nome specifico, puoi utilizzare il seguente URI
search-ms:search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
In questo caso, la variabile crumb search-ms specifica la posizione della ricerca e la variabile displayname specifica il titolo.
Quando si esegue questo comando dalla finestra di dialogo Esegui o dalla barra degli indirizzi del browser in Windows 7, Windows 10 e Windows 11, verrà visualizzata una casella di ricerca personalizzata, come nello screenshot seguente.
L’intestazione indicherà “Searching Sysinternals” come specificato nell’URI search-ms.
Gli aggressori possono utilizzare lo stesso approccio per gli attacchi, in cui le e-mail di phishing si mascherano come aggiornamenti o patch che dovrebbero essere installate con urgenza.
Gli aggressori possono configurare una condivisione Windows remota che verrà utilizzata per ospitare malware mascherato da aggiornamenti di sicurezza, quindi utilizzare l’URI search-ms nei loro attacchi.
Sembrerebbe difficile convincere l’utente a fare clic su un tale URL, soprattutto considerando l’avviso che verrà visualizzato in questo caso.
Tuttavia, il co-fondatore e ricercatore di sicurezza di Hacker House Matthew Hickey ha trovato un modo per combinare una vulnerabilità scoperta di recente in Microsoft Office con un gestore search-ms per aprire una finestra di ricerca remota semplicemente aprendo un documento Word.
Lo 0-day Follina è diventato noto la scorsa settimana, anche se i ricercatori hanno scoperto questo bug per la prima volta nell’aprile 2022, ma poi Microsoft ha rifiutato di riconoscere il problema.
La vulnerabilità è ora tracciata come CVE-2022-30190 ed è nota per essere sfruttabile tramite la normale apertura di documenti di Word o l’anteprima di Esplora file, utilizzando comandi PowerShell dannosi tramite lo strumento di diagnostica Microsoft (MSDT) per l’esecuzione.
Il bug interessa tutte le versioni di Windows che ricevono aggiornamenti di sicurezza, ovvero Windows 7 e versioni successive, nonché Server 2008 e versioni successive.
È noto che la CVE-2022-30190 consente di modificare i documenti di Microsoft Office per ignorare la visualizzazione protetta ed eseguire gestori URI senza l’interazione dell’utente, il che può portare a ulteriori abusi del gestore. Hickey ha scoperto che è possibile modificare gli exploit esistenti per Microsoft Word MSDT per abusare invece di search-ms.
Il nuovo PoC esegue automaticamente il comando search-ms quando l’utente apre un documento Word. L’exploit apre una finestra di ricerca di Windows che elenca i file eseguibili su una condivisione SMB remota. Questa cartella condivisa può essere denominata come vuole l’hacker, ad esempio Aggiornamenti critici, e chiederà agli utenti di installare il malware con il pretesto di una patch.
Come con gli exploit MSDT, Hickey ha dimostrato che è possibile creare un RTF che aprisse automaticamente una finestra di ricerca di Windows mentre era ancora in anteprima in Explorer.
Sebbene in genere non sia pericoloso come la vulnerabilità RCE MS-MSDT, questo exploit può essere utile anche per gli aggressori che possono utilizzarlo in sofisticate campagne di phishing.
È interessante notare che i problemi di uso improprio di MSDT e search-ms non sono nuovi: già nel 2020 Benjamin Alpiter li ha descritti. Ma solo di recente sono stati utilizzati nei documenti di Word per attacchi di phishing e sono diventati vulnerabilità zero-day.
Secondo il bollettino sulla sicurezza di Microsoft sulla CVE-2022-30190, l’azienda intende correggere i bug nei gestori di protocollo e le relative funzionalità di Windows, ma non il fatto che gli hacker possano abusare di Microsoft Office per avviare URI senza l’interazione dell’utente.
Will Dormann, analista del CERT/CC e noto specialista della sicurezza delle informazioni, ritiene che tali exploit utilizzino in realtà due problemi diversi. A suo avviso, senza risolvere il problema dell’URI di Microsoft Office, i gestori di protocollo continueranno a subire abusi.
Matthew Hickey ritiene inoltre che il problema non risieda nemmeno nei gestori del protocollo, ma piuttosto in una combinazione di bug che portano alla “vulnerabilità dello spoofing del percorso locale di Microsoft Office OLEObject search-ms”.
“La prossima cosa migliore da fare è correggere il titolo della ricerca e i messaggi di posizione per prevenire attacchi di spoofing come questo, o disattivarlo nell’intestazione dell’URI”
afferma Hickey.
I giornalisti di Bleeping Computer notano che ciò che sta accadendo ricorda la situazione con la vulnerabilità PrintNightmare RCE scoperta e risolta nello spooler di stampa nel 2021.
A quel tempo, Microsoft ha corretto rapidamente il bug originale, ma la sua scoperta ha portato a molte altre vulnerabilità di escalation dei privilegi locali relative al problema originale. Quindi gli sviluppatori Microsoft sono stati costretti ad apportare modifiche radicali a Windows Printing per eliminare finalmente questa classe di vulnerabilità nel suo insieme.
Ora Microsoft dovrà probabilmente rendere impossibile l’esecuzione di gestori URI in Microsoft Office senza l’interazione dell’utente.
Fino a quando ciò non accadrà, ci saranno rapporti regolari sulla creazione di nuovi exploit.
RedazioneCloudflare ha registrato un’interruzione significativa nella mattina del 5 dicembre 2025, quando alle 08:47 UTC una parte della propria infrastruttura ha iniziato a generare errori interni. L’inci...
Una campagna sempre più aggressiva, che punta direttamente alle infrastrutture di accesso remoto, ha spinto gli autori delle minacce a tentare di sfruttare attivamente le vulnerabilità dei portali V...
Dietro molte delle applicazioni e servizi digitali che diamo per scontati ogni giorno si cela un gigante silenzioso: FreeBSD. Conosciuto soprattutto dagli addetti ai lavori, questo sistema operativo U...
Molto spesso parliamo su questo sito del fatto che la finestra tra la pubblicazione di un exploit e l’avvio di attacchi attivi si sta riducendo drasticamente. Per questo motivo diventa sempre più f...
Dal 1° luglio, Cloudflare ha bloccato 416 miliardi di richieste da parte di bot di intelligenza artificiale che tentavano di estrarre contenuti dai siti web dei suoi clienti. Secondo Matthew Prince, ...
