{"id":265943,"date":"2022-06-02T02:29:58","date_gmt":"2022-06-02T00:29:58","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=265943"},"modified":"2022-06-02T02:48:05","modified_gmt":"2022-06-02T00:48:05","slug":"searchnightmare-windows-10-search-ms-uri-handler-0-day-exploit-mit-office-2019","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2022\/06\/02\/searchnightmare-windows-10-search-ms-uri-handler-0-day-exploit-mit-office-2019\/","title":{"rendered":"SearchNightmare: Windows 10 search-ms: URI Handler 0-day Exploit mit Office 2019"},"content":{"rendered":"

\"Windows\"[English<\/a>]Nach der Entdeckung des Missbrauchs der Follina-Schwachstelle (CVE-2022-30190) \u00fcber das Windows ms-msdt-Protokolls wird diese Bastion \"sturmreif\" geschossen. Ein Hacker hat sich den search-ms: URI Handler in Windows 10 angesehen und einen \u00e4hnlichen Exploit wie Follina entwickelt. Unter Zuhilfenahme von Office 2019 kann er die Windows-Suche \u00fcber den Protokoll-Handler \u00f6ffnen. Kollegen von Bleeping Computer haben bereits den Begriff SearchNightmare f\u00fcr diesen 0-day Exploit gepr\u00e4gt.<\/p>\n

<\/p>\n

\"\"Auf Facebook wurde ich in einer privaten Nachricht auf den nachfolgenden Tweet<\/a> von hackerfantastic.crypto hingewiesen. Er konnte unter Windows 10 mit Hilfe von Microsoft Office 2019 den search-ms:<\/em> URI-Handler aufrufen und so SYSTEM-Rechte erlangen.<\/p>\n

\"Abusing<\/a><\/p>\n

Die neue Zero-Day-Schwachstelle in der Windows-Suche kann verwendet werden, um durch den Start eines Word-Dokuments automatisch ein Suchfenster zu \u00f6ffnen, in dem ferngesteuerte Malware ausgef\u00fchrt werden kann. Das ist quasi ein \u00e4hnlicher Angriff wie \u00fcber das Windows ms-msdt<\/em>-Protokoll (Follina-Schwachstelle CVE-2022-30190). Denn Matthew Hickey hat einen modifizierten Exploits verwendet, der die Microsoft Office OLEObject-Schwachstelle mit dem Windows search-ms<\/em>-Protokoll-Handler verkettet.<\/p>\n

Der URI-Protokoll-Handler search-ms<\/em> erm\u00f6glicht es Anwendungen und HTML-Links benutzerdefinierte Suchen auf einem Ger\u00e4t zu starten. So l\u00e4sst sich \u00fcber den Exploit das Fenster der Windows-Suche \u00f6ffnen, oder die Dateien auf Remote-Freigaben auflisten, indem ein Word-Dokument ge\u00f6ffnet wird. Die Kollegen von Bleeping Computer weisen hier<\/a> darauf hin, das auch externe URLs in die Suche einbezogen werden k\u00f6nnen. Dies Sysinternals-Tools k\u00f6nnen \u00fcber nachfolgenden Befehl von live.sysinternals.com als Netzwerkfreigabe gemountet werden, um Dienstprogramme zu starten. Um diese entfernte Freigabe zu durchsuchen und nur Dateien aufzulisten, die einem bestimmten Namen entsprechen, k\u00f6nnten Sie den folgenden \"search-ms\"-URI verwenden:<\/p>\n

search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals<\/pre>\n
Das Ganze funktioniert in Windows 7 SP1 bis hin zu Windows 11. Ein Angreifer k\u00f6nnte diesen Ansatz f\u00fcr b\u00f6swillige Aktionen verwenden und beispielsweise in Phishing-E-Mails angebliche Sicherheitsupdates \u00fcber search-ms-URI verlinken. \u00dcber die Links lie\u00dfe sich dann eine Remote-Windows-Freigabe einrichten, \u00fcber die als Sicherheitsupdates getarnter Malware gehostet wird.<\/p>\n
Bedrohungsakteure k\u00f6nnen diese Methode nutzen, um ausgekl\u00fcgelte Phishing-Kampagnen zu erstellen. Bei den Kampagnen werden Windows-Freigaben \u00f6ffentlich gehostet. Dann lie\u00dfe sich die Malware \u00fcber die Windows-Suchfenster, die durch Phishing-Angriffe\/sch\u00e4dliche Word-Dokumente ge\u00f6ffnet werden, remote verbreiten. Der Benutzer muss dann zwar den Link anklicken und die angezeigte Warnung beim \u00d6ffnen der Suche best\u00e4tigen (siehe Bild in folgendem Tweet).<\/p>\n
\"Mitigation<\/p>\n
Der Hacker gibt in nachfolgendem Tweet seine Schritte zur Abschw\u00e4chung des Angriffswegs an:<\/p>\n
1. F\u00fchren Sie die Eingabeaufforderung als Administrator aus.
\n2. Um den Registrierungsschl\u00fcssel zu sichern, f\u00fchren Sie den Befehl \"reg export HKEY_CLASSES_ROOT\\search-ms filename\" aus.
\n3. F\u00fchren Sie den Befehl \"reg delete HKEY_CLASSES_ROOT\\search-ms \/f\" aus<\/p>\n
Die Schrittfolge entfernen den Eintrag f\u00fcr den search-ms URI-Protokoll-H\u00e4ndler aus der Registrierung. Wie auch bereits im Beitrag Follina: Angriff \u00fcber Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)<\/a> angesprochen, reicht das Entfernen des Schl\u00fcssels nicht, um die Schwachstelle zu beseitigen. Der Protokoll-Handler k\u00f6nnte auch noch in anderen Registrierungszweigen (HKCU, HKLM) eingetragen sind.<\/p>\n
Die Analyse und Abschw\u00e4chung der Schwachstelle durch Sicherheitsforscher wird noch einige Erkenntnisse zu Tage f\u00f6rdern. Die Kollegen von Bleeping Computer haben hier<\/a> einige Informationen dazu ver\u00f6ffentlicht. Benjamin Altpeter von der TU-Braunschweig hat bereits 2020 in in seiner Dissertation \u00fcber die Sicherheit von Elektron-Anwendungen<\/a> die beiden Schwachstellen mit ms-msdt-Protokoll und im search-m URI-Handler beschrieben.<\/p>\n
\u00c4hnliche Artikel:<\/strong>
\nFollina: Angriff \u00fcber Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)<\/a>
\nFollina-Schwachstelle (CVE-2022-30190): Status, Erkenntnisse, Warnungen & Angriffe<\/a>
\n0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"
[English]Nach der Entdeckung des Missbrauchs der Follina-Schwachstelle (CVE-2022-30190) \u00fcber das Windows ms-msdt-Protokolls wird diese Bastion \"sturmreif\" geschossen. Ein Hacker hat sich den search-ms: URI Handler in Windows 10 angesehen und einen \u00e4hnlichen Exploit wie Follina entwickelt. Unter Zuhilfenahme von Office … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[270,426,301],"tags":[4322,4328,3288],"class_list":["post-265943","post","type-post","status-publish","format-standard","hentry","category-office","category-sicherheit","category-windows","tag-office","tag-sicherheit","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265943","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=265943"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/265943\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=265943"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=265943"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=265943"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}