SearchNightmare : une nouvelle faille zero-day qui affecte Windows
Une nouvelle faille de sécurité zero-day de Windows peut être utilisée pour ouvrir une fenêtre de recherche qui affiche les résultats d'un emplacement distant, où peut se situer un exécutable malveillant, le tout à partir d'un document Word.
Même si cette méthode se rapproche de celle employée lors de l'exploitation de la vulnérabilité CVE-2022-30190 qui affecte le lanceur lié à Microsoft Windows Support Diagnostic Tool (MSDT), elle est différente malgré tout.
Par l'intermédiaire d'un appel d'URI via son handler "search-ms", Windows permet à une application ou un lien HTML d'ouvrir une recherche vers un emplacement personnalisé sur la machine locale. Ainsi, plutôt que de rechercher du contenu sur le disque local, on va rechercher sur un emplacement distant et potentiellement contrôlé par des pirates informatiques.
Comme l'explique le site Bleeping Computer, on peut, par exemple, rechercher sur live.sysinternals.com via une requête de ce type où l'on voit clairement le paramètre "query" avec la valeur à rechercher, le paramètre "crumb" avec l'emplacement et le paramètre "displayname" qui correspond au nom d'affichage de la requête.
search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals
On obtient une fenêtre comme celle-ci :
Le chercheur en sécurité Matthew Hickey affirme qu'en combinant un appel "search-ms" et la nouvelle vulnérabilité Microsoft Office OLEObject, les attaquants ont une nouvelle méthode d'attaque.
Ainsi, un attaquant peut envoyer un e-mail malveillant dans le cadre d'une campagne de phishing, et inciter l'utilisateur à installer une mise à jour malveillante à partir d'une fenêtre de recherche spécifique. Cette fenêtre spécifique pourrait être nommée "Mise à jour critique" et elle s'ouvrira en même temps que le document Word piégé, voire même automatiquement s'il est au format RTF (comme pour la vulnérabilité via MSDT).
La méthode via l'appel MSDT peut être facilement modifiée pour s'appuyer plutôt sur "search-ms", même si cette seconde méthode serait moins dangereuse, car elle nécessite une action de l'utilisateur une fois que la fenêtre de recherche est ouverte.
Microsoft Office search-ms: URI handler exploitation, requires user-interaction. Unpatched. pic.twitter.com/iYbZNtMpnx
— hackerfantastic.crypto (@hackerfantastic) June 1, 2022
Comment se protéger ?
D'après Matthew Hickey, il serait possible de se protéger en utilisant le même principe que pour bloquer les appels MSDT. Ce qui donne :
- Exécuter une Invite de commande en tant qu'administrateur
- Sauvegarder la clé de registre avec la commande "reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg"
- Supprimer la clé de registre avec la commande "reg delete HKEY_CLASSES_ROOT\search-ms /f"
L'utilisation détournée des appels URI de MSDT et search-ms n'est pas nouvelle, car Benjamin Altpeter en parlait déjà en 2020. En revanche, ce qui est nouveau, c'est le fait que ce soit utilisé dans des documents Word pour des attaques de phishing, sans interaction avec l'utilisateur. Résultats, nous avons deux jolies failles zero-day.
Désormais, Microsoft doit proposer une solution pour bloquer ces appels ou empêcher que ce soit détourné. Aujourd'hui, il est question des appels "ms-msdt" et "search-ms", mais demain cela pourrait être via un autre protocole. Au-delà de parler de SearchNightmare, on pourrait parler de ProtocolNightmare.