2 jun 2022

Nuevo Zero-Day explota Windows Search (search-ms)

Esta semana, los investigadores descubrieron Follina (CVE-2022-30190), una vulnerabilidad Zero-Day en la Herramienta de diagnóstico de soporte de Microsoft Windows (MSDT). Para explotarlo, los actores de amenazas crean documentos de Word maliciosos y utilizan el controlador de protocolo URI "ms-msdt" para ejecutar comandos de PowerShell simplemente abriendo el documento.

Ahora, simplemente iniciando un documento de Word, se puede explotar una nueva vulnerabilidad Zero-Day en Windows Search para abrir automáticamente una ventana de búsqueda que contiene ejecutables (o malware) alojados de forma remota.

El problema de seguridad se puede aprovechar porque Windows admite un controlador de protocolo URI llamado 'search-ms' que permite que las aplicaciones y los enlaces HTML inicien búsquedas personalizadas en un dispositivo.

Si bien la mayoría de las búsquedas de Windows buscarán en el índice del dispositivo local, también es posible obligar a Windows Search a consultar recursos compartidos de archivos en hosts remotos y usar un título personalizado para la ventana de búsqueda.

Por ejemplo, el popular conjunto de herramientas Sysinternals le permite montar de forma remota live.

search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

Cuando se ejecute este comando, desde un cuadro de diálogo "Ejecutar" o desde la barra de direcciones, aparecerá una ventana de búsqueda personalizada del navegador web en Windows 7, Windows 10 y Windows 11 (sin confirmar), como se muestra a continuación.

El título de la ventana se establece en el nombre para mostrar 'Searching Sysinternals' que especificamos en el URI search-ms.

Los actores de amenazas podrían usar este mismo enfoque para realizar ataques, donde se envían correos electrónicos de phishing que fingen ser actualizaciones de seguridad o parches que deben instalarse.

Se podría configurar un recurso compartido remoto de Windows que se puede usar para alojar malware disfrazado de actualizaciones de seguridad y luego incluir el URI search-ms en archivos adjuntos o correos electrónicos de phishing.

Pero el cofundador e investigador de seguridad de Hacker House, Matthew Hickey, encontró una manera al combinar una falla recién descubierta de Microsoft Office OLEObject con el controlador de protocolo search-ms para abrir una ventana de búsqueda remota simplemente abriendo un documento de Word. Con esta nuevo PoC, cuando un usuario abre un documento de Word, lanzará automáticamente un comando "search-ms" para abrir una ventana de búsqueda de Windows que enumera los ejecutables en un recurso compartido SMB remoto.

Este recurso compartido puede tener el nombre que desee el autor de la amenaza, como "Actualizaciones críticas", lo que incita a los usuarios a instalar el malware enumerado.

Al igual que las vulnerabilidades de MSDT, Hickey también demostró que se pueden crear versiones RTF que abren automáticamente una ventana de búsqueda de Windows cuando el documento se representa en el panel de vista previa del Explorador.

Mediante el uso de este tipo de documento de Word malicioso, los actores de amenazas pueden crear campañas de phishing elaboradas que inician automáticamente ventanas de búsqueda de Windows en los dispositivos de los destinatarios para engañarlos para que inicien malware.

Si bien este exploit no es tan grave como la vulnerabilidad de ejecución remota de código ms-msdt, podría dar lugar a abusos por parte actores de amenazas que desean crear sofisticadas campañas de phishing. Ya se han encontrado formas en que los actores de amenazas podrían explotar esta nueva falla.

Para mitigar esta vulnerabilidad, Hickey dice que puede usar la misma mitigación para las vulnerabilidades de ms-msdt: eliminar el controlador de protocolo search-ms desde el registro de Windows.

# Hacer una copia de seguridad
reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg
# Eliminar la clave
reg delete HKEY_CLASSES_ROOT\search-ms /f"

Los ejemplos de abuso de ms-msdt y search-ms no son nuevos, inicialmente fueron revelados por Benjamin Altpeter en 2020 en su tesis sobre la seguridad de aplicaciones de Electron.

Sin embargo, no fue hasta hace poco que comenzaron a utilizarse como armas en documentos de Word para ataques de phishing sin interacción del usuario, lo que los convirtió en vulnerabilidades Zero-Day.

Fuente: BC

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!