Word Belgelerini Açarken Windows Güvenlik Açığı Etkinleşiyor

araştırmacılar keşfetti kötü amaçlı yazılımın uzaktan yürütülmesine izin veren yeni bir sıfır günlük güvenlik açığı. Sorun, uygulamaların ve bağlantıların bilgisayarda arama yapmasına izin veren, search-ms adlı Tekdüzen Kaynak Tanımlayıcısı (URI) idi.

Windows 11, 10 ve 7 dahil olmak üzere sistemin modern sürümleri, Windows Search'ün yerel olarak ve uzak ana bilgisayarlarda dosyalara göz atmasına izin verir. Saldırgan, örneğin sahte bir Merkez dizini oluşturmak için bir protokol işleyicisi kullanabilir. Windows, kullanıcıyı kılık değiştirmiş kötü amaçlı yazılımları açması için günceller ve kandırır. Güncelleme. Ancak, modern olanlar genellikle bu tür dosyalara tepki verir ve kullanıcıyı uyarır, bu nedenle bu şekilde bir tıklama alma şansı çok azdır. Ancak dolandırıcılar bu güvenlik açığından yararlanmanın başka yollarını keşfettiler.

Görünüşe göre, arama-ms protokol işleyicisi, Microsoft Office OLEObject'de daha önce keşfedilen bir güvenlik açığı ile birleştirilebilir. Kullanıcı etkileşimi olmadan tarama korumasını atlamanıza ve URI protokolü işleyicilerini çalıştırmanıza olanak tanır.

YouTube'da bu yöntemin bir gösterimi ortaya çıktı: başka bir uygulamayı başlatmak için bir MS Word dosyası kullanıldı - bu durumda bir hesap makinesi. search-ms, arama kutusunun adını değiştirmenize izin verdiğinden, bilgisayar korsanları kurbanlarını yanlış yönlendirmek için arayüzü maskeleyebilir.

Benzer başarılabilir ve RTF belgeleri ile. Bu durumda, Word'ü başlatmanız bile gerekmez. Explorer, önizleme bölmesinde bir dosyanın önizlemesini oluşturduğunda yeni bir arama penceresi açılır.

Microsoft, bu güvenlik açığının nasıl giderileceğine ilişkin yönergelere sahiptir. Arama-ms protokolü işleyicisini Windows kayıt defterinden kaldırmak, sistemin korunmasına yardımcı olur. Bunun için:

• Yönetici ayrıcalıklarıyla Komut İstemi'ni başlatmak için Win + R tuşlarına basın, cmd yazın ve Ctrl + Shift + Enter tuşlarına basın.
• Girmek reg dışa aktarma HKEY_CLASSES_ROOT\search-ms search-ms.reg ve anahtarı yedeklemek için Enter'a basın.
• bundan sonra girin reg silme HKEY_CLASSES_ROOT\search-ms /f ve anahtarı kayıt defterinden kaldırmak için Enter tuşuna basın.

Microsoft zaten İşler protokol işleyicilerindeki ve ilgili Windows işlevlerindeki güvenlik açıklarını düzeltme. Ancak uzmanlar, bilgisayar korsanlarının başka istismar işleyicileri bulacağını söylüyor ve Microsoft bunun yerine URL işleyicilerinin Office uygulamalarında sorulmadan çalışmasını engellemeli kullanıcı.