Il protocollo di ricerca di Windows potrebbe essere potenzialmente a rischio di un exploit ed essere sfruttato per diffondere malware.
18 MARZO 2024 | A quasi due anni di distanza, sembrerebbe che sia ancora possibile sfruttare la falla della ricerca di Windows. Secondo un nuovo report dei ricercatori di sicurezza, alcune campagne di phishing condotte dal gruppo di hacker APT28 in tutto il mondo hanno di recente diffuso alcuni malware sfruttando il protocollo URI “search-ms“, tramite documenti o e-mail infetti al fine di rubare dati agli utenti.
Ricerca di Windows vulnerabile
Una nuova vulnerabilità zero-day finora sconosciuta, del protocollo URI “search-ms“ di Windows, potrebbe essere sfruttata per eludere i sistemi di difesa del sistema operativo aprendo una finestra di ricerca contenente eseguibili infetti avviabili tramite dei documenti di Office, al fine di diffondere malware. Potete vedere una dimostrazione pratica dell’exploit nel video qui in basso.
Microsoft Office 2019 / Windows 10 / search-ms: URI handler exploitation and post-exploitation steps to SYSTEM. pic.twitter.com/r512uF3vQ4
— hackerfantastic.x (@hackerfantastic) June 1, 2022
La vulnerabilità non sarebbe ancora stata risolta da Microsoft, tuttavia è disponibile una correzione temporanea per mitigare la falla, che consiste nel disabilitare il protocollo URI search-ms.
- Esegui il prompt dei comandi come amministratore.
- Per eseguire il backup della chiave di registro, eseguire il comando “reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg“.
- Esegui il comando “reg delete HKEY_CLASSES_ROOT\search-ms /f “.
Che ne pensate di questa nuova tecnica per diffondere malware? Ditecelo nei commenti.
Articolo di Windows Blog Italia
Fonte | BleepingComputer