ほこりが奇妙な名前のフォッリーナの脆弱性に落ち着き始めたのと同じように…
…もう1つのゼロデイWindowsセキュリティホールが発生しました。
ある種。
これがいくつかの見出しが示唆しているように劇的または危険であるとは確信していませんが(そのため、上記の「一種の」という言葉を注意深く追加しました)、研究者が現在探しているのは驚くことではありません。 Windowsで多くの独自のURLタイプを悪用する新しい方法について。
URLスキームの再検討
要点をまとめると。
ザ フォッリーナ バグは、現在CVE-2022-30190としてより適切に知られていますが、Windowsオペレーティングシステムでサポートされている奇妙な非標準のURLに依存しています。
大まかに言えば、ほとんどのURLは構造化されているため、URLは、ユーザーまたは使用しているソフトウェア、アクセス先、アクセス方法、および到着時に何を要求するかを示します。
たとえば、URL…
https://example.com/ask/forthis.item
…言う、 「https:というスキームを使用して、 example.com 次に、というファイルをリクエストします /ask/forthis.item。」
同様に、URL…
file:///Users/duck/thisone.txt
…言う、 「ローカルコンピュータで次のファイルを探します thisone.txt ディレクトリ内 /Users/duck「「。
そしてURL…
ldap://192.169.1.79:8888/Runthis
…言う、 「TCPポート8888を介してサーバーへのLDAPルックアップを実行します 192.168.1.79、と呼ばれるオブジェクトを検索します Runthis。
ただし、Windowsには、独自のURLスキーム(最初のコロン文字までの文字)の長いリストが含まれています。 プロトコルハンドラー、特別なURLを参照するだけで、さまざまな非標準アクティビティをトリガーするために使用できます。
たとえば、Follinaのバグは、URLスキームを悪用しました。 ms-msdt:、システム診断に関連します。
これ ms-msdt: スキームは、今ではばかげているように見えますが、実装された時点では理にかなっていると私たちは考えています。 「Microsoftサポート診断ツールを実行する」、MSDT.EXEと呼ばれるプログラムで、動作に問題のあるアプリのトラブルシューティングを行う際の一連の基本的な手順を説明します。
しかし、多くのサイバー犯罪者は、あなたが悪用できることを発見しました ms-msdt: OutlookまたはOfficeによって開かれたドキュメントまたは電子メール内に埋め込まれたURLによるプロトコルハンドラー。
悪党と ms-msdt: URLを使用すると、攻撃者はコンピュータ上でMSDT.EXEアプリをサイレントに起動できるだけでなく、不正なPowerShellスクリプトコードを大量にフィードして、選択したマルウェアを実行させることができます。
詐欺師は、コンピューターのトラブルシューティングを支援する代わりに、MSDTを悪用してコンピューターに感染させます。
聞いたことのないURL
結局のところ ms-msdt: Microsoftが夢見てきた奇妙で素晴らしいWindows固有のURLスキームはこれだけではありません。
Windowsレジストリのエントリを介してプロトコルハンドラに接続された、標準および非標準の多数の「ヘルパー」URLスキームがあります。
これらのレジストリキーは、誰かが関連するURLにアクセスしようとしたときに特別なアクションをトリガーする必要があることを示しています。
たとえば、経験からわかるように、 https: URLがまだ実行されていない場合、通常、URLはブラウザを起動します。
そして、上で説明したように、 ms-msdt: URLはMSDT.EXEを起動しますが、今週の初めまでにそれを知っている人はほとんどいないと思われます。 (私たちはしませんでした– Follinaの話が壊れる前に、そのタイプのURLを使用したことも、見たこともありませんでした。)
さて、として知られているサイバーセキュリティ研究者 @hackerfantastic と呼ばれるWindowsURLスキームを発見しました search-ms: それは、 ms-msdt:、サイバー犯罪の裏切りに悪用されます。
すでに述べたように、これが「ゼロデイエクスプロイト」領域と呼ばれる領域にあるとは確信していません。予期しないリモートコード実行に直接つながることはないからです…
…しかし、これは緊密な呼びかけであり、この特別なURLが今後機能しないようにブロックすることをお勧めします。
「検索URL」のトリック
簡単に言えば、 search-ms: URLがポップアップ表示され、タスクバーの虫眼鏡をクリックして選択したテキストを入力し、結果を待つかのように、Windows検索が自動的に実行されます。
そして、このタイプのURLをDOCやRTFファイルなどのドキュメントに埋め込むことで、フォッリーナのトリックが実行されたのとほぼ同じ方法で、攻撃者はあなたを誘惑してドキュメントを開き、公式のポップアップを自動的に表示することができます。それに関連する検索結果のリストを探す:
Microsoft Office 2019 / Windows 10 / search-ms:URIハンドラーの悪用とシステムへの悪用後の手順。 pic.twitter.com/r512uF3vQ4
— hackerfantastic.crypto(@hackerfantastic) 2022年6月1日
ブービートラップされたドキュメントに特別なURLを埋め込んだ攻撃者は、検索バーのタイトルに表示される内容と表示するファイルを事前に選択することができます。
表示されるファイルは、次のようなローカルに保存されたファイルである必要はありません。 C:\Users\duck\mypreso.ppt、ただし、次のようなリモートファイル(UNCパス)にすることができます \\live.sysinternals.com\psshutdown.exe また \\example.org\dodgy.exe。
もちろん、これによって問題のあるファイルが自動的に起動されるわけではないため、これを「一種の」ゼロデイと見なすだけです。
上記のTwitterビデオにあるように、ファイルの1つを選択し、ダブルクリックして実行し、セキュリティ警告に対応する必要があります。
それにもかかわらず、このトリックは確かに、疑わしいWebリンクが含まれている昔ながらの電子メールの誘惑よりもはるかに信じられないほど危害を加えることになります。
ポップアップ表示されるウィンドウは、ブラウザでも電子メールクライアントでもありません。
代わりに、ローカルコンピュータで通常の検索を行った場合に表示されるものと同じように見え、従来のWebリンクのようなものは含まれていません。
何をすべきか?
- 名前を再確認せずにファイルを開かないでください。 Windowsサーチダイアログに表示されるファイルが信頼できるローカルファイルであると思い込まないでください。特に、検索が自分で意図的に開始したものでない場合はそうです。 疑わしい場合は、省略してください。
- Windowsオプションをオンにして、ファイル拡張子を表示します。 迷惑なことに、Windowsはデフォルトでファイル拡張子を抑制しているため、
risky.exe単にとして表示されますrisky。 これは、ファイルの名前が意図的に変更されたことを意味しますreadme.txt.exeどうやら無実に見えると誤ってラベル付けされてしまうreadme.txt。 開ける ファイルエクスプローラー に行きます 意見 >> ファイル名拡張子。 - リモートファイル名はWebリンクほど明白ではないことに注意してください。 Windowsでは、ドライブ文字またはUNCパスでファイルにアクセスできます。 UNCパスは、多くの場合、独自のネットワーク上のサーバー名を参照します。
\\MAINSRV、ただし、インターネット上のリモートサーバーを参照することもできます。\\files.example.comまた\\198.51.100.42。 UNCパスとして指定されたリモートファイルをダブルクリックすると、指定されたサーバーからバックグラウンドでダウンロードされるだけでなく、到着すると自動的に起動されます。 - レジストリエントリを削除することを検討してください
HKEY_CLASSES_ROOT\search-ms。 これは、フォッリーナのバグに使用されたものと同様の緩和策であり、ms-msdt代わりにエントリ。 これにより、クリックとクリックの間の魔法のつながりが失われます。search-ms:URLと検索ウィンドウのアクティブ化。 レジストリエントリを削除した後、search-ms:URLには特別な意味はないため、何もトリガーされません。 - このスペースをご覧ください。 他の独自のWindowsURLが今後数日または数週間にわたってサイバーセキュリティのニュースを発信したり、サイバー犯罪者によって悪意のある、または直接破壊的な目的でサービスを開始したり、システムの限界を押し広げようとしている研究者によって単に発見されたりしても、驚くことはありません。現状のまま。