Une vulnérabilité liée au protocole Windows Search (Search-ms) a été découverte récemment. Un pirate peut l’exploiter avec un document Word malveillant.
Sur Twitter hackerfantastic.crypto explique avoir découvert et signalé ce problème de sécurité. Sur des PC compromis, un personne malveillante peut ouvrir automatiquement une fenêtre à chaque fois qu’un nouveau document Word est exécuté. Cette fausse fenêtre affiche des mises à jour “critique”s et incite à les installer. Il s’agit en réalité de programmes malveillants.
Windows, vulnérabilité “Search-ms”, solution.
Il est possible de se protéger. Dans un premier temps il ne faut absolument pas interagir avec ces faux liens. En clair si une fenêtre de recherche Windows s’affiche sans explication, ignorée là. La meilleure solution est cependant de bloquer ces pages Windows Search contrôlées par un attaquant.
L’opération demande de passer par quelques lignes de commandes.
Appuyez sur Ctrl+Échap pour ouvrir l’écran de démarrage puis dans le champ de recherche tapez CMD. Cliquez sur Exécuter en tant qu’administrateur
La commande suivante permet de sauvegarder la clé de Registre.
reg export HKEY_CLASSES_ROOT\search-ms search-ms.reg
Ensuite exécutez cette commande pour supprimer la clé de Registre.
reg delete HKEY_CLASSES_ROOT\search-ms /f
Fermez l’invite de commandes et redémarrez votre PC pour que les changements prennent effet.
hackerfantastic.crypto ajoute
Notez qu’il ne s’agit pas de CVE-2022-30190 mais nous avons l’utilisation du même vecteur OLEObject que CVE-2021-40444 et CVE-2022-30190, mais comme l’attaque nécessite une interaction utilisateur supplémentaire et une connexion UNC sortante, le score de risque CVSS est réduit. La faille est actuellement non corrigée, mais les mesures d’atténuation fonctionnent.
A voir la vidéo, il y a aussi un sacré problème entre la chaise et le clavier.
A en croire les icônes, on double cliques sur un Word, puis il y a un PowerPoint qui s’affiche et là on double clique sur le PowerPoint pour se faire contaminer. A quel moment on a besoin d’ouvrir un PowerPoint quand on veut travailler sur un Word?
Rien que sur l’image d’en-tête de cet article, on voit qu’il y a un gros problème niveau réglage par défaut de Windows, et ça dure depuis des années. L’image montre une recherche d’un .exe et affiche un résultat avec l’icône d’un Powerpoint, sans extension. Si l’affichage des extension des fichiers connu n’était pas masqué par défaut, on verrait tout de suite que le résultat est un .exe et non un .pptx. Ça limiterait un peu les risques de ce genre d’attaque.
En effet, comme le met en avant seb, il y a un gros souci dans l’interface chaise-clavier.
Malheureusement je constate au quotidien que les utilisateurs de PC en entreprise (outil de travail) ont une connaissance proche du zéro pointé en informatique. J’en ai vu qui malgré qu’ils utilisent au boulot un ordinateur depuis plus de 20 ans, voir 30 ans, se feraient piéger sans problème à ce genre d’entourloupe.
La formation à la sécurité informatique en entreprise ou dans les administrations est passée au 15ème rang des priorités, pour ne pas dire totalement ignorée.
L’affichage des extensions est une bonne idée qu’il faut mettre en place ; toutefois si l’utilisateur ne sait même pas faire la différence entre un “pptx” et un “.exe” par exemple, ce sera peine perdue. Seule une réelle formation aux bons gestes permettra si ce n’est totalement mais en grande partie de limiter la surface d’attaque… Mais essaye de faire comprendre çà à un patron ou chef de service…
J’ai oublié un point. 🙂
Merci à l’auteur pour nous avoir donné les détails pour corriger le problème cette fois.
C’est bien beau de râler tout le temps mais il ne faut pas oublié de dire quand c’est bien aussi. 😉
“ignorée là”
3 fautes en 2 mots, il faut le faire…
ignorez-la
J’ai arrêté de lire à Ignorée la.
Et pendant ce temps Microsoft se vante de trouver des failles sous Linux… 20 ans de Linux, plus JAMAIS Windows. Comment faire confiance à un OS propriétaire ?