Une nouvelle vulnérabilité zero-day de Windows Search peut être utilisée pour ouvrir automatiquement une fenêtre de recherche contenant des exécutables de logiciels malveillants hébergés à distance, simplement en lançant un document Word.

Cette méthode se rapproche de celle employée lors de l'exploitation de la vulnérabilité CVE-2022-30190 qui affecte le lanceur lié à Microsoft Windows Support Diagnostic Tool (MSDT).

Cette vulnérabilité peut être exploitée car Windows prend en charge un gestionnaire de protocole URI appelé "search-ms" qui permet aux applications et aux liens HTML de lancer des recherches personnalisées sur un périphérique.

Bien que la plupart des recherches Windows portent sur l'index du périphérique local, il est également possible de forcer Windows Search à interroger les partages de fichiers sur des hôtes distants et à utiliser un titre personnalisé pour la fenêtre de recherche.

Les acteurs de menace pourraient utiliser cette approche pour des attaques malveillantes, en envoyant des courriels de phishing prétendant être des mises à jour de sécurité ou des correctifs à installer.

Ils peuvent alors mettre en place un partage Windows à distance qui peut être utilisé pour héberger des logiciels malveillants déguisés en mises à jour de sécurité, puis inclure l'URI search-ms dans leurs pièces jointes ou leurs e-mails de phishing.

D'après le chercheur en sécurité Matthew Hickey, il serait possible de se protéger en utilisant le même principe que pour bloquer les appels MSDT. Ce qui donne :

· Exécuter une Invite de commande en tant qu'administrateur

· Sauvegarder la clé de registre avec la commande "reg export HKEY_CLASSES_ROOTsearch-ms search-ms.reg"

· Supprimer la clé de registre avec la commande "reg delete HKEY_CLASSES_ROOTsearch-ms /f"

L'utilisation détournée des appels URI de MSDT et search-ms n'est pas nouvelle. En revanche, ce qui est nouveau, c'est le fait que ce soit utilisé dans des documents Word pour des attaques de phishing, sans interaction avec l'utilisateur