Bleeping Computerは6月1日(現地時間)、「New Windows Search zero-day added to Microsoft protocol nightmare」において、Windows Searchに発見された新しいゼロデイ脆弱性について伝えた。

この脆弱性を悪用すると、検索ウィンドウからリモートでホストされている実行可能ファイルを起動することができるという。攻撃者に悪用されると、被害者のPCでマルウェアなどを含んだ悪意のあるファイルを実行されるリスクがある。

Windowsでは「search-ms」というURIプロトコルハンドラがサポートされている。このプロトコルは通常、ローカルPC内の検索を実行するために使用するものだが、リモートホストにある共有フォルダに対しても同じ処理を行うことができる。Windowsの[実行]ダイアログや、Webブラウザのアドレスバーでsearch-msのURIを呼び出すと、URIのパラメータによってカスタマイズされた検索ウィンドウが表示される。ただし、Webブラウザでsearch-msのURIを開いた場合、URIプロトコルハンドラが警告を表示するようになっているため、この機能自体は極端に危険というわけではない。

しかし、セキュリティ研究者のMatthew Hickey氏の報告によれば、Microsoft OfficeのOLEオブジェクトに発見された別の欠陥を組み合わせることで、この警告をバイパスして悪意のあるWordファイルからリモートの検索ウィンドウを開けることが判明したという。

  • Windows Searchの新しいゼロデイ脆弱性のPoCを公表したHickey氏のツイート

    Windows Searchの新しいゼロデイ脆弱性のPoCを公表したHickey氏のツイート

CVE-2022-30190として識別されているこの脆弱性を悪用すると、加工されたMS Officeファイルをユーザーが開いただけでURIプロトコルハンドラを起動できるとのこと。したがって、攻撃者は標的のユーザーを騙して加工されたWordファイルを開かせることで、マルウェアなどの実行ファイルを表示するように加工された検索ウィンドウを表示させることができるというわけだ。

Hickey氏は、この脆弱性による被害を軽減する処置として、レジストリからsearch-msプロトコルハンドラを削除する方法を紹介している。

  • レジストリからsearch-msプロトコルハンドラを削除することで影響を緩和できる

    レジストリからsearch-msプロトコルハンドラを削除することで影響を緩和できる