新的Windows搜索零日漏洞可被远程托管恶意软件利用

蓮花仙者
发布: 2025-05-15 13:58:10
原创
567人浏览过

新的windows搜索零日漏洞可被远程托管恶意软件利用安全研究人员发现了新的windows search零日漏洞,攻击者可以通过启动word文档来利用它。该漏洞允许恶意行为者自动打开一个搜索窗口,内含受感染系统上远程托管的恶意可执行文件。

由于Windows的URI协议处理程序“search-ms”允许通过应用程序和HTML链接在设备上进行自定义搜索,利用此漏洞成为可能。虽然该协议旨在促进使用本地设备索引的Windows搜索,但黑客可以强制操作系统在远程主机上执行文件共享查询。

此外,威胁行为者还可以为搜索窗口设置自定义标题。在成功攻击中,犯罪分子可以配置远程Windows共享来托管恶意软件,伪装成补丁或安全更新,并将恶意的search-ms URI嵌入到网络钓鱼电子邮件或附件中。然而,诱导目标打开此类链接对攻击者来说可能具有挑战性。尝试打开URL时,系统会触发警告,提示用户某个站点正在尝试访问Windows资源管理器

在这种情况下,用户需要通过点击附加按钮来确认操作。然而,正如安全研究员Matthew Hickey所展示的,通过将search-ms协议处理程序与另一个新发现的Office OLEObject漏洞结合使用,黑客只需打开Word文档就能启动自定义搜索窗口。要利用漏洞,用户需要打开诱饵Word文档,然后从自定义搜索窗口启动恶意可执行文件共享。攻击者可以将可执行文件伪装成关键的安全更新,诱骗用户在其系统上启动它。更糟糕的是,Hickey还展示了攻击者可以创建富文本格式(RTF)文件,通过资源管理器中的预览选项卡自动启动自定义Windows搜索窗口,而无需打开文档。

安全研究人员建议采取以下措施来缓解新发现的漏洞:

1、以管理员身份运行命令提示符

2、在CMD中运行reg export HKEY_CLASSES_ROOT\search-ms filename以备份注册表项

3、在CMD中执行reg delete HKEY_CLASSES_ROOT\search-ms /f

Windows Search漏洞是在关键的Microsoft Office零日漏洞“Follina”出现后不久被发现的。后者可以通过Microsoft诊断工具(MSDT)在PowerShell远程代码执行攻击中被利用。

参考来源

https://www.php.cn/link/86ec2b20d2256ee17bff18962bf3ea8b

新的Windows搜索零日漏洞可被远程托管恶意软件利用精彩推荐

新的Windows搜索零日漏洞可被远程托管恶意软件利用新的Windows搜索零日漏洞可被远程托管恶意软件利用新的Windows搜索零日漏洞可被远程托管恶意软件利用新的Windows搜索零日漏洞可被远程托管恶意软件利用

以上就是新的Windows搜索零日漏洞可被远程托管恶意软件利用的详细内容,更多请关注php中文网其它相关文章!

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
最新问题
开源免费商场系统广告
热门教程
更多>
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 意见反馈 讲师合作 广告合作 最新更新
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习
PHP中文网抖音号
发现有趣的

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号