安全研究人員發現了一個新的Windows Search零日漏洞，攻擊者可以通過啟動Word文檔來加以利用。該漏洞將允許威脅行為者自動打開一個搜索窗口，其中包含受感染系統上遠程托管的惡意可執行文件。

由于Windows的URI協議處理程序“search-ms”可以使用應用程序和 HTML 鏈接在設備上進行自定義搜索，因此利用此漏洞是可能的。盡管該協議旨在促進使用本地設備索引的 Windows 搜索，但黑客可以強制操作系統在遠程主機上執行文件共享查詢。

不僅如此，威脅參與者還可以利用此漏洞為搜索窗口使用自定義標題。在成功的攻擊中，犯罪者可以配置遠程Windows共享托管惡意軟件，偽裝成補丁或安全更新，然后將惡意 search-ms URI包含在網絡釣魚電子郵件或附件中。然而，讓目標打開這樣的鏈接對攻擊者來說可能具有挑戰性。嘗試打開URL會在系統上觸發警告，提醒用戶某個站點正在嘗試訪問Windows資源管理器。

在這種情況下，用戶需要通過單擊附加按鈕來確認他們的操作。然而，正如安全研究員 Matthew Hickey 所證明的那樣，將 search-ms 協議處理程序與另一個新發現的 Office OLEObject 漏洞配對可以讓黑客通過簡單地打開 Word 文檔來啟動自定義搜索窗口。要使漏洞利用，用戶需要打開誘餌 Word 文檔，然后從自定義搜索窗口啟動惡意可執行文件共享。攻擊者可以將可執行文件偽裝成關鍵的安全更新，誘騙用戶在他們的系統上啟動它。更糟糕的是，Hickey 還展示了攻擊者可以創建富文本格式 (RTF) 文件，通過資源管理器中的預覽選項卡自動啟動自定義 Windows 搜索窗口，而無需打開文檔。

安全研究人員建議對新發現的漏洞采取以下緩解措施：

• 以管理員身份運行命令提示符
• 在CMD中運行reg export HKEY_CLASSES_ROOT\search-msfilename備份注冊表項reg 3、在CMD中執行reg delete HKEY_CLASSES_ROOT\search-ms /f

Windows Search漏洞是在關鍵的Microsoft Office零日漏洞“Follina”出現后不久發現的。后者可以通過Microsoft診斷工具(MSDT)在PowerShell遠程代碼執行攻擊中被利用。

參考來源：https://www.bitdefender.com/blog/hotforsecurity/new-windows-search-zero-day-vulnerability-can-be-exploited-by-remotely-hosted-malware/