يتم تنشيط ثغرة أمنية في Windows عند فتح مستندات Word

الباحثون اكتشف ثغرة أمنية جديدة لمدة يوم واحد تسمح بالتنفيذ عن بُعد للبرامج الضارة. كانت المشكلة هي معرّف الموارد المنتظم (URI) المسمى search-ms ، والذي يسمح للتطبيقات والروابط بإجراء عمليات بحث على الكمبيوتر.

تسمح الإصدارات الحديثة من النظام ، بما في ذلك Windows 11 و 10 و 7 ، لـ Windows Search بتصفح الملفات محليًا وعلى الأجهزة المضيفة البعيدة. يمكن للمهاجم استخدام معالج بروتوكول لإنشاء ، على سبيل المثال ، دليل مركز مزيف تحديثات Windows وخداع المستخدم لفتح برامج ضارة متخفية باسم تحديث. ومع ذلك ، عادةً ما تتفاعل الملفات الحديثة مع مثل هذه الملفات وتحذر المستخدم ، لذلك هناك فرصة ضئيلة للحصول على نقرة بهذه الطريقة. لكن المخادعين اكتشفوا طرقًا أخرى لاستغلال هذه الثغرة الأمنية.

كما اتضح ، يمكن دمج معالج بروتوكول search-ms مع ثغرة أمنية في Microsoft Office OLEObject ، التي تم اكتشافها حتى قبل ذلك. يسمح لك بتجاوز حماية التصفح وتشغيل معالجات بروتوكول URI دون تدخل المستخدم.

ظهر عرض توضيحي لهذه الطريقة على YouTube: تم استخدام ملف MS Word لتشغيل تطبيق آخر - في هذه الحالة ، آلة حاسبة. نظرًا لأن search-ms يسمح لك بتغيير اسم مربع البحث ، يمكن للقراصنة إخفاء الواجهة لتضليل ضحاياهم.

مماثل يمكن تحقيقه ومع وثائق RTF. في هذه الحالة ، لن تحتاج حتى إلى بدء تشغيل Word. يتم تشغيل نافذة بحث جديدة عندما يعرض Explorer معاينة لملف في جزء المعاينة.

لدى Microsoft إرشادات حول كيفية إصلاح هذه الثغرة الأمنية. ستساعد إزالة معالج بروتوكول search-ms من تسجيل Windows في حماية النظام. لهذا:

• اضغط على Win + R واكتب cmd واضغط على Ctrl + Shift + Enter لتشغيل موجه الأوامر بامتيازات المسؤول.
• يدخل ريج تصدير HKEY_CLASSES_ROOT \ search-ms search-ms.reg واضغط على Enter لعمل نسخة احتياطية من المفتاح.
• بعد ذلك يدخل reg حذف HKEY_CLASSES_ROOT \ search-ms / f واضغط على Enter لإزالة المفتاح من التسجيل.

مايكروسوفت بالفعل يعمل إصلاح الثغرات الأمنية في معالجات البروتوكول ووظائف Windows ذات الصلة. ومع ذلك ، يقول الخبراء إن المتسللين سيجدون معالجات أخرى للاستغلال ومايكروسوفت يجب أن تمنع بدلاً من ذلك معالجات URL من العمل في تطبيقات Office دون مطالبة المستعمل.