新たなWindows Searchのゼロデイが発見、内容とその回避方法

news

Windows検索の新たなゼロデイの脆弱性は、Word文書を起動するだけでリモートでホストされたマルウェア実行ファイルを含む検索ウィンドウを自動的に開くために使用される可能性があることがわかりました。

Windowsが「search-ms」と呼ばれるURIプロトコルハンドラをサポートし、アプリケーションやHTMLリンクがデバイス上でカスタマイズされた検索を起動できるようにするために利用されます。

Windows検索は、ローカルデバイスのインデックスを検索しますが、Windows検索にリモートホスト上のファイル共有を照会させ、検索ウィンドウにカスタムタイトルを使用させることも可能です。

例えば、人気のある Sysinternals ツールセットでは、ネットワーク共有として live.sysinternals.com をリモートでマウントし、そのユーティリティを起動することができます。このリモート共有を検索して、特定の名前に一致するファイルのみをリストアップするには、次のような ‘search-ms’ URI を使用することができます。

search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

を検索します。

上のコマンドからわかるように、search-msの「crumb」変数が検索する場所を指定し、「displayname」変数が検索タイトルを指定します。

攻撃者は、悪意のある攻撃に使用することができ、インストールが必要なセキュリティアップデートやパッチを装ったフィッシングメールが送信されます。

そして、セキュリティアップデートを装ったマルウェアをホストするために使用できるWindowsのリモート共有を設定し、フィッシングの添付ファイルやメールにsearch-ms URIを含めることができるのです。

Hacker Houseの共同設立者でセキュリティ研究者のMatthew Hickey氏は、新たに発見されたMicrosoft Office OLEObjectの欠陥とsearch-msプロトコルハンドラを組み合わせることによって、Word文書を開くだけでリモート検索ウィンドウを開く方法を発見しました

また攻撃者がMicrosoft Windows Support Diagnostic Tool (MSDT)の新しいWindowsのゼロデイ脆弱性を利用していることを発見しました。この脆弱性を悪用するために、脅威者は、文書を開くだけでPowerShellコマンドを実行する「ms-msdt」URIプロトコルハンドラを起動する悪意のあるWord文書を作成しています。

CVE-2022-30190 と呼ばれるこの脆弱性により、Microsoft Office 文書を改変して Protected View を回避し、ユーザーの操作なしに URI プロトコルハンドラを起動することが可能になり、プロトコルハンドラのさらなる悪用につながるだけとなります。

この新しいPoCでは、ユーザーがWord文書を開くと、自動的に「search-ms」コマンドが起動し、リモートSMB共有上の実行可能ファイルをリストアップするWindows Searchウィンドウが開かれます。この共有には、「Critical Updates」など攻撃者が望む名前を付けることができ、リストアップされたマルウェアをインストールするようユーザーに促します。

この脆弱性を緩和するには、ms-msdtの脆弱性対策と同様に、Windowsレジストリからsearch-msプロトコルハンドラを削除すればよいとのことです。

回避方法

  • コマンドプロンプトを管理者で実行
  • レジストリキーをバックアップするために、”reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg” というコマンドを実行
  • コマンド “reg delete HKEY_CLASSES_ROOT\search-ms /f” を実行

CVE-2022-30190に対するMicrosoftのガイダンスによると、同社は、脅威者がMicrosoft Officeを悪用してユーザーの操作なしにこれらのURIを起動できるという事実よりも、プロトコルハンドラの欠陥とその基盤となるWindows機能に取り組んでいるように見受けられます。

マイクロソフト社は、この問題をどのように解決するつもりなのかという質問に対して、次のような声明を出しています。

このソーシャル・エンジニアリングの手法は、ユーザーに悪意のある文書を実行させ、攻撃者が指定したネットワーク共有にある実行可能ファイルのリストとやり取りすることを要求します。我々は、ユーザーが安全なコンピューティング習慣を実践し、信頼できるソースから来たファイルのみを開くことを推奨します。

Comments

タイトルとURLをコピーしました