Actus

Nouveau Windows Search zero-day ajouté au cauchemar du protocole Microsoft

Par , le 3 juin 2022 - 14 minutes de lecture
Nouveau Windows Search zero-day ajouté au cauchemar du protocole Microsoft
Notez l'article

Une nouvelle vulnérabilité zero-day de Windows Search peut être utilisée pour ouvrir automatiquement une fenêtre de recherche contenant des exécutables de logiciels malveillants hébergés à distance simplement en lançant un document Word.

Le problème de sécurité peut être exploité car Windows prend en charge un gestionnaire de protocole URI appelé “search-ms” qui permet aux applications et aux liens HTML de lancer des recherches personnalisées sur un appareil.

Bien que la plupart des recherches Windows portent sur l’index du périphérique local, il est également possible de forcer Windows Search à interroger les partages de fichiers sur des hôtes distants et à utiliser un titre personnalisé pour la fenêtre de recherche.

Par exemple, l’ensemble d’outils populaires Sysinternals vous permet de monter à distance live.sysinternals.com en tant que partage réseau pour lancer leurs utilitaires. Pour rechercher ce partage distant et ne lister que les fichiers correspondant à un nom particulier, vous pouvez utiliser l’URI ‘search-ms’ suivante :

Comme vous pouvez le voir dans la commande ci-dessus, la variable search-ms ‘crumb’ spécifie l’emplacement à rechercher et la variable ‘displayname’ spécifie le titre de la recherche.

Une fenêtre de recherche personnalisée apparaît lorsque cette commande est exécutée à partir d’une boîte de dialogue Exécuter ou d’une barre d’adresse de navigateur Web sous Windows 7, Windows 10 et Windows 11, comme indiqué ci-dessous.

Remarquez comment le titre de la fenêtre est défini sur le nom d’affichage “Searching Sysinternals” que nous avons spécifié dans l’URI search-ms.

Les acteurs de la menace pourraient utiliser cette même approche pour les attaques malveillantes, où des e-mails de phishing sont envoyés en prétendant être des mises à jour de sécurité ou des correctifs qui doivent être installés.

Ils peuvent ensuite configurer un partage Windows distant qui peut être utilisé pour héberger des logiciels malveillants déguisés en mises à jour de sécurité, puis inclure l’URI search-ms dans leurs pièces jointes ou e-mails de phishing.

Cependant, il ne serait pas facile d’amener un utilisateur à cliquer sur une URL comme celle-ci, surtout lorsqu’elle affiche un avertissement, comme indiqué ci-dessous.

Mais le co-fondateur et chercheur en sécurité de Hacker House, Matthew Hickey, a trouvé un moyen en combinant une faille Microsoft Office OLEObject récemment découverte avec le gestionnaire de protocole search-ms pour ouvrir une fenêtre de recherche à distance simplement en ouvrant un document Word.

Microsoft Office passe au niveau supérieur

Microsoft Office passe au niveau supérieur

Cette semaine, les chercheurs ont découvert que les pirates utilisaient une nouvelle vulnérabilité Windows Zero Day dans Microsoft Windows Support Diagnostic Tool (MSDT). Pour l’exploiter, les pirates ont créé des documents Word malveillants qui ont lancé le gestionnaire de protocole URI « ms-msdt » pour exécuter des commandes PowerShell simplement en ouvrant le document.

Identifiée comme CVE-2022-30190, la faille permet de modifier les documents Microsoft Office pour contourner la vue protégée et lancer les gestionnaires de protocole URI sans interaction des utilisateurs, ce qui ne fera que conduire à un abus supplémentaire des gestionnaires de protocole.

Cela s’est vu hier lorsque Hickey a converti les exploits Microsoft Word MSDT existants pour utiliser le gestionnaire de protocole search-ms que nous avons décrit précédemment.

Avec ce nouveau PoC, lorsqu’un utilisateur ouvre un document Word, il lance automatiquement une commande “search-ms” pour ouvrir une fenêtre de recherche Windows qui répertorie les exécutables sur un partage SMB distant. Ce partage peut être nommé comme l’acteur de la menace le souhaite, par exemple “Mises à jour critiques”, invitant les utilisateurs à installer les logiciels malveillants répertoriés.

Microsoft Office search-ms : exploitation du gestionnaire d’URI, nécessite une interaction de l’utilisateur. Non patché. pic.twitter.com/iYbZNtMpnx

Comme les exploits MSDT, Hickey a également montré que vous pouviez créer des versions RTF qui ouvrent automatiquement une fenêtre de recherche Windows lorsque le document est rendu dans le volet de prévisualisation de l’explorateur.

Voici la même attaque search-ms exploitée via un document RTF lorsque le volet de prévisualisation Windows est activé… 😉 pic.twitter.com/AmOeGWltjm

En utilisant ce type de document Word malveillant, les pirates peuvent créer des campagnes de phishing élaborées qui lancent automatiquement des fenêtres de recherche Windows sur les appareils des destinataires pour les inciter à lancer des logiciels malveillants.

Bien que cet exploit ne soit pas aussi grave que la vulnérabilité d’exécution de code à distance MS-MSDT, il pourrait conduire à des abus de la part d’acteurs malveillants industrieux qui souhaitent créer des campagnes de phishing sophistiquées.

Bien que nous ayons déjà trouvé des moyens d’exploiter cette nouvelle faille dans la nature, nous n’allons pas partager ces informations pour des raisons évidentes.

Pour atténuer cette vulnérabilité, Hickey indique que vous pouvez utiliser la même atténuation pour les exploits ms-msdt : supprimez le gestionnaire de protocole search-ms du registre Windows.

Un protocole WindowsCauchemar

Un protocole WindowsCauchemar

Les exemples d’abus MSDT et search-ms ne sont pas nouveaux, initialement divulgués par Benjamin Altpeter en 2020 dans sa thèse sur la sécurité des applications Electron.

Cependant, ce n’est que récemment qu’ils ont commencé à être militarisés dans des documents Word pour des attaques de phishing sans interaction de l’utilisateur, ce qui les a transformés en vulnérabilités zero-day.

Sur la base des directives de Microsoft pour CVE-2022-30190, la société semble s’attaquer aux failles des gestionnaires de protocole et de leurs fonctionnalités Windows sous-jacentes, plutôt qu’au fait que les pirates peuvent abuser de Microsoft Office pour lancer ces URI sans interaction de l’utilisateur.

Comme le dit l’analyste de vulnérabilité CERT/CC Will Dormann, ces exploits utilisent en fait deux failles différentes. Sans résoudre le problème de l’URI de Microsoft Office, d’autres gestionnaires de protocole seront abusés.

Hickey a également déclaré à BleepingComputer qu’il pensait qu’il ne s’agissait pas nécessairement d’une faille dans les gestionnaires de protocole, mais plutôt d’une combinaison conduisant à une “vulnérabilité d’usurpation de chemin d’emplacement Microsoft Office OLEObject search-ms”.

“La meilleure chose à faire ensuite est de corriger les messages de réglage du titre et de l’emplacement des capacités de recherche pour empêcher de telles attaques d’usurpation d’identité ou de le désactiver en tant que gestionnaire d’URI”, a expliqué Hickey lors d’une conversation sur les failles.

En juin, des chercheurs ont accidentellement divulgué les détails techniques et un exploit de preuve de concept (PoC) pour une vulnérabilité Windows Spooler RCE nommée PrintNightmare.

Alors que le composant RCE a été rapidement corrigé, un large éventail de vulnérabilités locales d’élévation des privilèges ont été découvertes et ont continué à être divulguées sous la classification « PrintNightmare ».

Ce n’est que lorsque Microsoft a apporté des modifications drastiques à l’impression Windows qu’il a finalement pris le contrôle de cette classe de vulnérabilité, même si elle a causé de nombreux problèmes d’impression pendant un certain temps.

En s’attaquant au problème uniquement du côté du gestionnaire de protocole/de la fonctionnalité Windows, Microsoft fait face à une toute nouvelle classification “ProtocolNightmare” dans laquelle les chercheurs continueront de trouver de nouveaux gestionnaires d’URI à abuser lors d’attaques.

Jusqu’à ce que Microsoft rende impossible le lancement de gestionnaires d’URI dans Microsoft Office sans interaction de l’utilisateur, préparez-vous à toute une série d’articles de presse similaires à mesure que de nouveaux exploits sont publiés.

Microsoft nous a envoyé la déclaration suivante lorsqu’on lui a demandé comment ils prévoyaient de résoudre ce problème.

« Cette technique d’ingénierie sociale nécessite qu’un utilisateur exécute un document malveillant et interagisse avec une liste d’exécutables à partir d’un partage réseau spécifié par l’attaquant. Nous recommandons aux utilisateurs d’adopter des habitudes informatiques sûres et de n’ouvrir que des fichiers provenant de sources fiables. – un porte-parole de Microsoft.

Windows 11 est-il pire pour les jeux ?

Windows 11 est-il pire pour les jeux ?

Windows 11 n’est peut-être pas plus rapide dans les jeux que Windows 10, mais il n’est pas non plus plus lent. Bien sûr, nous avons testé Windows 11 avec VBS désactivé, c’était la valeur par défaut après une nouvelle installation sur notre matériel de test.

Windows 11 affecte-t-il les jeux ? Windows 11 supprime le bagage historique des versions précédentes de Windows tout en apportant de nouvelles technologies de jeu sur PC uniquement vues sur les consoles Xbox jusqu’à présent. Des améliorations subtiles aux principales fonctionnalités de nouvelle génération, Windows 11 est conçu pour améliorer le jeu.

Windows 11 ralentit-il les performances de jeu ?

Comme Windows 10 (Home et Pro) sera retiré d’ici 2025, Windows 11 est sans aucun doute le prochain grand public. Mais le nouveau système d’exploitation est assez loin d’être OK, et de nombreux joueurs rencontrent des problèmes de performances tels que des FPS faibles, des bégaiements et des plantages.

Dois-je mettre à jour vers Windows 11 pour les jeux ?

Microsoft accélère les choses avec une mise à jour astucieuse et facultative qui inclut un correctif de bogue de lecteur SSD/HDD. Cela a été une période post-lancement difficile pour Windows 11 (ouvre dans un nouvel onglet), sa réception par les joueurs ayant été moins que géniale.

Windows 10 ou 11 est-il meilleur ?

Windows 10 ou 11 est-il meilleur ?

Cela ne fait aucun doute, Windows 11 sera un meilleur système d’exploitation que Windows 10 en matière de jeux. Le premier empruntera certaines fonctionnalités de la Xbox Series X pour améliorer la qualité visuelle des jeux, comme Auto HDR qui ajoute automatiquement des améliorations HDR aux jeux construits sur DirectX 11 ou supérieur.

Windows 11 est-il bien meilleur que Windows 10 ? Dans l’ensemble, les avantages en termes de performances de Windows 11 se résument en grande partie à la façon dont le nouveau système d’exploitation gère les processus système que vous voyez habituellement lorsque vous ouvrez le Gestionnaire des tâches. Selon Microsoft, Windows 11 fait beaucoup de travail dans la gestion de la mémoire pour favoriser les fenêtres d’application que vous avez ouvertes et en cours d’exécution au premier plan.

Vaut-il la peine de passer à Windows 11 ?

Une nouvelle interface élégante, une meilleure sécurité, des applications mises à jour et des widgets d’informations ne sont que quelques-uns des avantages de la mise à niveau vers Windows 11. Voici pourquoi vous devriez le faire le plus tôt possible. Il y a quelque chose à dire pour rester à jour. Windows 11 est la première mise à jour majeure du principal système d’exploitation de bureau en sept ans.

Est-ce que Windows 11 est plus facile à utiliser que Windows 10 ?

Si votre PC a moins de RAM et de puissance CPU, Windows 11 offrira certainement de meilleures performances car il se concentre sur les applications de premier plan et a moins de processus d’arrière-plan consommant des ressources limitées.

Quelle est la différence entre Windows 10 et 11 ?

Quelle est la différence entre Windows 10 et 11 ?

Une différence majeure entre Windows 11 et Windows 10 réside dans sa conception. Windows 11 offre une interface qui ressemble plus à un Mac, avec des couleurs pastel, des coins arrondis pour toutes les fenêtres et une interface plus propre que son prédécesseur.

La mise à niveau de Windows 10 vers 11 en vaut-elle la peine ? Mais si vous hésitez encore, il n’y a vraiment aucune raison de passer immédiatement à Windows 11. Tant que vous êtes sur Windows 10, vous aurez accès à de nombreuses fonctionnalités clés de Windows 11 (comme Auto HDR et les bureaux virtuels) ainsi qu’aux mises à jour critiques et aux correctifs de sécurité jusqu’en 2025.

Quelle est la principale différence entre Windows 10 et Windows 11 ?

La configuration système requise pour Windows 11 est plus stricte que celle de Windows 10. Par exemple, Windows 11 ne fonctionnera que sur des PC 64 bits. De plus, votre PC aura besoin d’une puce TPM 2.0 et d’un micrologiciel UEFI avec fonction de démarrage sécurisé. Les PC de l’ère Windows 7 ne seront certainement pas éligibles.

L’installation de Windows 11 2022 est-elle sûre ?

Presque certainement, oui. Microsoft a mis à jour de manière controversée la configuration matérielle requise pour Windows 11, excluant de nombreux matériels plus anciens. La sécurité a été citée comme la principale raison, avec des fonctionnalités telles que TPM (Trusted Platform Module) 2.0, Secure Boot et la sécurité basée sur la virtualisation, toutes appliquées en standard.

Windows 11 vaut-il la peine d’être mis à niveau ? Une nouvelle interface élégante, une meilleure sécurité, des applications mises à jour et des widgets d’informations ne sont que quelques-uns des avantages de la mise à niveau vers Windows 11. Voici pourquoi vous devriez le faire le plus tôt possible. Il y a quelque chose à dire pour rester à jour. Windows 11 est la première mise à jour majeure du principal système d’exploitation de bureau en sept ans.

Est-ce que Windows 11 est stable pour le moment ?

Majorité oui. Il y avait des problèmes mineurs au début, qui ont été corrigés en un mois, et même les pilotes et les applications ont été adaptés à Windows 11, le rendant ainsi presque identique, voire meilleur que Windows 10 déjà. Donc, dans ce sens, oui, c’est absolument génial pour un usage quotidien.

Dois-je acheter à nouveau Windows 11 ?

Vous n’êtes pas obligé de mettre à niveau vers Windows 11. Nous continuerons à prendre en charge Windows 10 jusqu’au 14 octobre 2025.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.