„SearchNightmare“: 0-Day-Exploit in der Windows-Suche nutzt Microsoft Word

3.6.2022 8:18 Uhr

Der 0-Day-Exploit „SearchNightmare“ ermöglicht das Ausführen von Malware über die Windows-Suche dank Microsoft Word mit System-Rechten. Eine schwere Schwachstelle im sogenannten URI-Handler „search-ms“ von Windows 7 bis Windows 11 kann vorerst nur mit Hilfe eines Workarounds über die Eingabeaufforderung eingedämmt werden.

„SearchNightmare“ folgt auf „Follina“

Die neuentdeckte Sicherheitslücke „SearchNightmare“, die bislang noch ohne eine eigene Referenz bei Common Vulnerabilities and Exposures (CVE) auskommen muss, folgt in kurzem zeitlichen Abstand zur „Follina“-Schwachstelle CVE-2022-30190 im Microsoft Support Diagnostic Tool, welche ebenfalls einen von Microsoft veröffentlichten Workaround notwendig macht.

Microsoft Security Response Center: Guidance for Microsoft Support Diagnostic Tool Vulnerability (CVE-2022-30190)

Nach „ms-msdt“ kommt „search-ms“

Während beim „Follina“-Exploit das URL-Protokoll „ms-msdt“ deaktiviert werden musste, verkettet der neue Exploit eine Sicherheitslücke im Objektsystem „OLEObject“ mit dem Protokoll-Handler „search-ms“.

So ermöglicht es die Zero-Day-Lücke, dass durch den Start eines Word-Dokuments automatisch ein Suchfenster geöffnet wird, in dem beispielsweise ferngesteuerte Malware ausgeführt werden kann.

Der Hacker und Sicherheitsexperte @hackerfantastic demonstrierte den 0-Day-Exploit am Beispiel von Windows 10 und Microsoft Word 2019. Auf diesem Wege würde sich beispielsweise auch Schadsoftware über die Windows-Suchfenster, die durch schädliche Word-Dokumente geöffnet werden, Remote verbreiten lassen.

In weiteren Tweets demonstriert der Hacker auch gleich, wie sich der 0-Day-Exploit eindämmen und der URI-Handler „search-ms“ deaktivieren lässt.

Steps for mitigation:
1. Run Command Prompt as Administrator.
2. To back up the registry key, execute the command “reg export HKEY_CLASSES_ROOT\search-ms filename“
3. Execute command “reg delete HKEY_CLASSES_ROOT\search-ms /f”. pic.twitter.com/NYDp3txiIb
— hackerfantastic.crypto (@hackerfantastic) June 1, 2022

Nachfolgend zeigt @hackerfantastic die Sicht eines betroffenen Anwenders auf und weist noch einmal ganz deutlich darauf hin, dass „SearchNightmare“ zwar die selben OLEObject-Protokolle nutzt wie die Lücken CVE-2021-40444 und CVE-2022-30190, es sich dabei aber um eine ganz eigenständige Schwachstelle handelt.

Ausmaß ist noch nicht bekannt

Während die Analyse der Schwachstelle durch Sicherheitsforscher und ein mögliches offizielles Statement von Microsoft in den nächsten Tagen mehr Auskunft über das Ausmaß und die Schwere der Schwachstelle geben werden, hat sich die auf Sicherheitsthemen spezialisierte Website BleepingComputer den 0-Day-Exploit einmal im Detail angesehen und auch bereits Expertenstimmen gesammelt.

Auch Will Dormann, Schwachstellenanalyst bei CERT/CC, erklärte in einem Beitrag auf Twitter, dass „SearchNightmare“ zwei verschiedene Schwachstellen für Angriffe ausnutze. Ohne die Behebung des Microsoft-Office-URI-Problems könnten zukünftig noch weitere Protokoll-Handler missbraucht werden, so der Sicherheitsexperte weiter.

Gegenüber BleepingComputer verwies ein Sprecher von Microsoft im Bezug auf „SearchNightmare“ auf den jederzeit erforderlichen sorgsamen Umgang mit Dokumenten aus unbekannter Herkunft.

This social engineering technique requires a user to run a malicious document and interact with a list of executables from an attacker specified network share. We recommend users practice safe computing habits and to only open files that come from trusted sources.
Microsoft

CB-Funk Podcast #66: EKWB am Abgrund, arm(e) AI-PCs und Benchmarks en masse mit Fabian und Jan-Frederik