Net toen het stof begon neer te strijken op de vreemd genoemde Follina kwetsbaarheid…

... er kwam nog een zero-day Windows-beveiligingslek.

Soort van.

We zijn er niet van overtuigd dat deze zo dramatisch of gevaarlijk is als sommige koppen lijken te suggereren (daarom hebben we hierboven zorgvuldig de woorden "soort van" toegevoegd), maar het verbaast ons niet dat onderzoekers momenteel op zoek zijn naar voor nieuwe manieren om misbruik te maken van de vele eigen URL-typen in Windows.

URL-schema's opnieuw bezocht

Om samen te vatten.

De Follina bug, nu beter bekend als CVE-2022-30190, hangt af van een vreemde, niet-standaard URL die wordt ondersteund door het Windows-besturingssysteem.

Losjes gesproken zijn de meeste URL's zo gestructureerd dat ze u, of de software die u gebruikt, vertellen waar u heen moet, hoe u er moet komen en wat u moet vragen wanneer u aankomt.

Bijvoorbeeld de url...

   https://example.com/ask/forthis.item

…zegt, “Gebruik het schema met de naam https: om verbinding te maken met een server met de naam example.com en vraag dan een bestand aan met de naam /ask/forthis.item. '

Evenzo is de URL ...

   bestand:///Users/duck/thisone.txt

…zegt, “Zoek naar een bestand op de lokale computer genaamd thisone.txt in de directory /Users/duck".

En de url...

   ldap://192.169.1.79:8888/Runthis

…zegt, “Doe een LDAP-zoekopdracht via TCP-poort 8888 naar server 192.168.1.79en zoek naar een object met de naam Runthis.

Maar Windows bevat een lange lijst met eigen URL-schema's (de letters tot aan de eerste dubbele punt), ook wel bekend als protocolbehandelaars, die kan worden gebruikt om een ​​reeks niet-standaard activiteiten te activeren door simpelweg naar de speciale URL te verwijzen.

De Follina-bug maakte bijvoorbeeld misbruik van het URL-schema ms-msdt:, die betrekking heeft op systeemdiagnose.

Deze ms-msdt: schema, waarvan we aannemen dat het logisch was toen het werd geïmplementeerd, ook al lijkt het nu roekeloos, zegt: "Voer het Microsoft Support Diagnostic Tool uit", een programma met de naam MSDT.EXE dat bedoeld is om u door een reeks basisstappen te leiden bij het oplossen van problemen met een app die zich misdraagt.

Maar een stel cybercriminelen ontdekte dat je de ms-msdt: protocol-handler door middel van een URL die is ingesloten in een document of e-mail die wordt geopend door Outlook of Office.

Met een schurk ms-msdt: URL kunnen aanvallers niet alleen de app MSDT.EXE stil op uw computer starten, maar deze ook een heleboel malafide PowerShell-scriptcode geven om u te dwingen de malware van hun keuze uit te voeren.

In plaats van u te helpen bij het oplossen van problemen met uw computer, misbruiken de boeven MSDT om deze in plaats daarvan te infecteren.

De URL's waar je nog nooit van hebt gehoord

Het blijkt dat ms-msdt: is niet het enige rare en wonderbaarlijke Windows-specifieke URL-schema dat Microsoft heeft verzonnen.

Er zijn talloze "helper" URL-schema's, standaard en niet-standaard, aangesloten op protocol-handlers via vermeldingen in het Windows-register.

Deze registersleutels geven aan dat speciale acties moeten worden geactiveerd wanneer iemand toegang probeert te krijgen tot de relevante URL's.

Zoals u bijvoorbeeld uit ervaring weet, kan het openen van een https: URL start meestal uw browser, als deze nog niet actief is.

En, zoals we hierboven hebben uitgelegd, een bezoek aan een ms-msdt: URL start MSDT.EXE, hoewel we vermoeden dat maar heel weinig mensen dat wisten voor het begin van deze week. (Dat deden we niet - we hadden nog nooit een URL van dat type gebruikt of zelfs gezien voordat het Follina-verhaal uitbrak.)

Nou, een cybersecurity-onderzoeker die bekend staat als: @hackfantastisch heeft een Windows URL-schema ontdekt genaamd search-ms: dat zou kunnen, zoals ms-msdt:, worden misbruikt voor cybercrimineel verraad.

Zoals we al zeiden, zijn we er niet helemaal van overtuigd dat dit in wat we zouden noemen "zero-day exploit"-gebied ligt, omdat het niet direct leidt tot onverwachte uitvoering van externe code...

... maar we accepteren dat het een close call is en dat u in de toekomst misschien wilt voorkomen dat deze speciale URL werkt.

De "zoek-URL"-truc

Simpel gezegd, search-ms: URL's zullen verschijnen en automatisch een Windows-zoekopdracht uitvoeren, alsof je zelf op het vergrootglas in de taakbalk hebt geklikt, tekst naar keuze hebt ingevoerd en op het resultaat hebt gewacht.

En door dit type URL in te sluiten in een document zoals een DOC- of RTF-bestand, op vrijwel dezelfde manier waarop de Follina-truc werd uitgehaald, kan een aanvaller u ertoe verleiden een document te openen en vervolgens automatisch een officieel- zoeklijst met bijbehorende zoekresultaten:

Microsoft Office 2019 / Windows 10 / search-ms: URI-handler exploitatie en post-exploitatie stappen naar SYSTEEM. pic.twitter.com/r512uF3vQ4

— hackerfantastic.crypto (@hackerfantastic) 1 June 2022

De aanvallers die de speciale URL in het document met boobytraps insluiten, mogen van tevoren kiezen wat er in de titel van de zoekbalk wordt weergegeven en welke bestanden ze willen weergeven.

De bestanden die verschijnen, hoeven geen lokaal opgeslagen bestanden te zijn, zoals: C:Usersduckmypreso.ppt, maar dit kunnen externe bestanden zijn (UNC-paden) zoals live.sysinterals.compsshutdown.exe or example.orgdodgy.exe.

Dit start natuurlijk niet automatisch de aanstootgevende bestanden, daarom beschouwen we dit alleen als een "soort" zero-day.

Je moet nog steeds een van de bestanden kiezen, dubbelklikken om het uit te voeren en te reageren op een beveiligingswaarschuwing, zoals je ziet in de Twitter-video hierboven.

Desalniettemin brengt deze truc je zeker veel geloofwaardiger in gevaar dan een ouderwetse e-maillokmiddel met verdacht uitziende weblinks erin.

Het venster dat verschijnt, is geen browser of e-mailclient.

In plaats daarvan lijkt het op wat u zou zien als u regelmatig op uw lokale computer zou zoeken, en het bevat niets dat lijkt op een traditionele weblink.

Wat te doen?

• Open nooit bestanden zonder hun namen dubbel te controleren. Ga er niet vanuit dat bestanden die verschijnen in een Windows-zoekdialoogvenster lokale bestanden zijn die u kunt vertrouwen, vooral als de zoekopdracht niet zelf is gestart. Laat het bij twijfel achterwege!
• Onthoud dat bestandsnamen op afstand niet zo duidelijk zijn als weblinks. Met Windows hebt u toegang tot bestanden via stationsletter of UNC-pad. Een UNC-pad verwijst vaak naar een servernaam op uw eigen netwerk, bijv MAINSRV, maar kan evengoed verwijzen naar externe servers op internet, zoals files.example.com or 198.51.100.42. Dubbelklikken op een extern bestand dat is gespecificeerd als een UNC-pad, zal het niet alleen op de achtergrond downloaden van de opgegeven server, maar het ook automatisch starten zodra het is aangekomen.
• Overweeg om de registervermelding te verwijderen HKEY_CLASSES_ROOTsearch-ms. Dit is een vergelijkbare beperking als de ene gebruikt voor de Follina-bug, waar u de . verwijdert ms-msdt in plaats daarvan. Dit verbreekt de magische verbinding tussen het klikken op a search-ms: URL en de activering van het zoekvenster. Na het verwijderen van de registervermelding, search-ms: URL's hebben geen speciale betekenis en activeren daarom niets.
• Bekijk deze ruimte. Het zal ons niet verbazen als andere propriëtaire Windows-URL's de komende dagen of weken het nieuws over cyberbeveiliging halen, in gebruik worden genomen voor slinkse of zelfs direct destructieve doeleinden door cybercriminelen, of gewoon worden ontdekt door onderzoekers die proberen de grenzen van het systeem te verleggen zoals het staat.