Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Tuy nhiên, một zero-day khác (loại) trong xử lý "URL tìm kiếm" của Windows

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 267

by
Paul Ducklin

Ngay khi bụi bắt đầu đọng lại trên cái tên kỳ lạ Follina lỗ hổng…

… Cùng với đó là một lỗ hổng bảo mật khác của Windows zero-day.

Sắp xếp.

Chúng tôi không tin rằng điều này là khá kịch tính hoặc nguy hiểm như một số tiêu đề dường như đề xuất (đó là lý do tại sao chúng tôi cẩn thận thêm các từ "loại" ở trên), nhưng chúng tôi không ngạc nhiên khi các nhà nghiên cứu hiện đang xem xét để biết những cách mới để lạm dụng nhiều loại URL độc quyền trong Windows.

Các lược đồ URL đã được truy cập lại

Tóm lại.

Sản phẩm Follina lỗi, bây giờ được gọi đúng hơn là CVE-2022-30190, bản lề trên một URL kỳ lạ, không chuẩn được hỗ trợ bởi hệ điều hành Windows.

Nói một cách dễ hiểu, hầu hết các URL đều có cấu trúc để chúng cho bạn biết hoặc phần mềm bạn đang sử dụng, đi đâu, đến đó bằng cách nào và yêu cầu những gì khi bạn đến nơi.

Ví dụ: URL…

   https://example.com/ask/forthis.item

…nói, “Sử dụng lược đồ có tên https: để kết nối với máy chủ có tên example.com và sau đó yêu cầu một tệp được gọi là /ask/forthis.item".

Tương tự, URL… 

   tệp: ///Users/duck/thisone.txt

…nói, “Hãy tìm một tệp trên máy tính cục bộ có tên là thisone.txt trong danh bạ /Users/duck".

Và URL… 

   ldap: //192.169.1.79: 8888 / Runthis

…nói, “Làm một Tra cứu LDAP qua cổng TCP 8888 đến máy chủ 192.168.1.79và tìm kiếm một đối tượng được gọi là Runthis.

Nhưng Windows bao gồm một danh sách dài các lược đồ URL độc quyền (các chữ cái tính đến ký tự dấu hai chấm đầu tiên), còn được gọi là trình xử lý giao thức, có thể được sử dụng để kích hoạt một loạt các hoạt động không chuẩn chỉ bằng cách tham chiếu đến URL đặc biệt.

Ví dụ, lỗi Follina đã tận dụng lợi thế của lược đồ URL ms-msdt:, liên quan đến chẩn đoán hệ thống.

T ms-msdt: chương trình mà chúng tôi cho là có ý nghĩa vào thời điểm nó được triển khai mặc dù bây giờ nó có vẻ hơi ngu ngốc, “Chạy Công cụ Chẩn đoán Hỗ trợ của Microsoft”, một chương trình có tên MSDT.EXE nhằm hướng dẫn bạn qua một loạt các bước cơ bản khi khắc phục sự cố ứng dụng hoạt động sai.

Nhưng một loạt tội phạm mạng đã phát hiện ra rằng bạn có thể lạm dụng ms-msdt: trình xử lý giao thức bằng cách nhúng URL vào bên trong tài liệu hoặc email được Outlook hoặc Office mở.

Với một kẻ lừa đảo ms-msdt: URL, những kẻ tấn công không chỉ có thể âm thầm khởi chạy ứng dụng MSDT.EXE trên máy tính của bạn mà còn cung cấp cho nó một loạt mã tập lệnh PowerShell giả mạo để buộc bạn chạy phần mềm độc hại mà chúng lựa chọn.

Thay vì giúp bạn khắc phục sự cố máy tính của mình, kẻ gian lại khai thác MSDT để lây nhiễm cho nó.

Các URL bạn chưa bao giờ nghe nói đến

Nó chỉ ra rằng ms-msdt: không phải là lược đồ URL dành riêng cho Windows kỳ lạ và tuyệt vời duy nhất mà Microsoft đã mơ ước.

Có rất nhiều lược đồ URL “trợ giúp”, tiêu chuẩn và không tiêu chuẩn, được kết nối với các trình xử lý giao thức thông qua các mục nhập trong sổ đăng ký Windows.

Các khóa đăng ký này biểu thị rằng các hành động đặc biệt sẽ được kích hoạt khi ai đó cố gắng truy cập vào các URL có liên quan.

Ví dụ: như bạn biết từ kinh nghiệm, truy cập vào một https: URL thường kích hoạt trình duyệt của bạn, nếu nó chưa chạy.

Và, như chúng tôi đã giải thích ở trên, truy cập vào một ms-msdt: URL kích hoạt MSDT.EXE, mặc dù chúng tôi nghi ngờ rằng rất ít người biết điều đó trước khi bắt đầu tuần này. (Chúng tôi đã không - chúng tôi chưa bao giờ sử dụng hoặc thậm chí nhìn thấy một URL thuộc loại đó trước khi câu chuyện về Follina bị phá vỡ.)

Chà, một nhà nghiên cứu an ninh mạng được biết đến với cái tên @hackerfantastic đã phát hiện ra một lược đồ URL của Windows được gọi là search-ms: điều đó có thể, giống như ms-msdt:, được sử dụng sai mục đích cho tội phạm mạng phản bội.

Như chúng tôi đã nói, chúng tôi không hoàn toàn tin rằng điều này nằm trong lãnh thổ mà chúng tôi gọi là “khai thác không ngày”, bởi vì nó không trực tiếp dẫn đến việc thực thi mã từ xa không mong muốn…

… Nhưng chúng tôi chấp nhận rằng đó là một cuộc gọi gần đúng và bạn có thể muốn chặn URL đặc biệt này hoạt động trong tương lai.

Thủ thuật "URL tìm kiếm"

Đơn giản chỉ cần đặt, search-ms: Các URL sẽ tự động bật lên và thực hiện tìm kiếm trong Windows, như thể bạn tự mình nhấp vào kính lúp trên thanh tác vụ, nhập văn bản bạn chọn và đợi kết quả.

Và bằng cách nhúng loại URL này vào một tài liệu chẳng hạn như tệp DOC hoặc RTF, giống như cách mà thủ thuật Follina đã được thực hiện, do đó kẻ tấn công có thể dụ bạn mở tài liệu, rồi tự động bật lên một trang chính thức- tìm kiếm danh sách kết quả tìm kiếm liên quan đến nó:

Những kẻ tấn công nhúng URL đặc biệt vào tài liệu bị mắc kẹt có thể chọn trước những gì xuất hiện trong tiêu đề của thanh tìm kiếm và những tệp nào sẽ hiển thị.

Các tệp hiển thị không nhất thiết phải là các tệp được lưu trữ cục bộ, chẳng hạn như C:Usersduckmypreso.ppt, nhưng có thể là các tệp từ xa (đường dẫn UNC) chẳng hạn như live.sysinterals.compsshutdown.exe or example.orgdodgy.exe.

Tất nhiên, điều này không tự động khởi chạy các tệp vi phạm, đó là lý do tại sao chúng tôi chỉ coi đây là một "loại" ngày không.

Bạn vẫn cần chọn một trong các tệp, nhấp đúp để thực thi nó và phản ứng với cảnh báo bảo mật, như bạn thấy trong video Twitter ở trên.

Tuy nhiên, thủ thuật này chắc chắn khiến bạn dễ tin hơn nhiều so với một email kiểu cũ bị dụ dỗ với các liên kết web trông đáng ngờ trong đó.

Cửa sổ bật lên không phải là trình duyệt hay ứng dụng email.

Thay vào đó, nó trông giống như những gì bạn sẽ thấy nếu bạn thực hiện tìm kiếm thông thường trên máy tính cục bộ của mình và không chứa bất kỳ thứ gì giống như một liên kết web truyền thống.

Phải làm gì?

  • Không bao giờ mở tệp mà không kiểm tra kỹ tên của chúng. Đừng cho rằng các tệp xuất hiện trong hộp thoại tìm kiếm của Windows là các tệp cục bộ mà bạn có thể tin tưởng, đặc biệt nếu tìm kiếm không phải là do bạn tự chủ ý thực hiện. Nếu nghi ngờ, hãy bỏ nó ra ngoài!
  • Hãy nhớ rằng tên tệp từ xa không rõ ràng như liên kết web. Windows cho phép bạn truy cập tệp theo ký tự ổ đĩa hoặc theo đường dẫn UNC. Đường dẫn UNC thường đề cập đến tên máy chủ trên mạng của chính bạn, ví dụ: MAINSRV, nhưng cũng có thể đề cập đến các máy chủ từ xa trên internet, chẳng hạn như files.example.com or 198.51.100.42. Nhấp đúp vào tệp từ xa được chỉ định làm đường dẫn UNC sẽ không chỉ tải tệp đó xuống nền từ máy chủ được chỉ định mà còn tự động khởi chạy tệp sau khi đến nơi.
  • Xem xét xóa mục đăng ký HKEY_CLASSES_ROOTsearch-ms. Đây là một giảm thiểu tương tự như một được sử dụng cho lỗi Follina, nơi bạn xóa ms-msdt mục nhập thay thế. Điều này phá vỡ kết nối kỳ diệu giữa việc nhấp vào search-ms: URL và kích hoạt cửa sổ tìm kiếm. Sau khi xóa mục đăng ký, search-ms: URL không có ý nghĩa đặc biệt và do đó không kích hoạt bất cứ điều gì.
  • Xem không gian này. Chúng tôi sẽ không ngạc nhiên nếu các URL Windows độc quyền khác đưa ra tin tức về an ninh mạng trong vài ngày hoặc vài tuần tới, được đưa vào sử dụng cho các mục đích gian dối hoặc thậm chí phá hoại trực tiếp bởi tội phạm mạng hoặc chỉ đơn giản là bị phát hiện bởi các nhà nghiên cứu đang cố gắng đẩy các giới hạn của hệ thống như nó đang tồn tại.
tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.