„SearchNightmare“: 0-Day-Exploit in der Windows-Suche nutzt Microsoft Word

Sven Bauduin
79 Kommentare
„SearchNightmare“: 0-Day-Exploit in der Windows-Suche nutzt Microsoft Word

Der 0-Day-Exploit „SearchNightmare“ ermöglicht das Ausführen von Malware über die Windows-Suche dank Microsoft Word mit System-Rechten. Eine schwere Schwachstelle im sogenannten URI-Handler „search-ms“ von Windows 7 bis Windows 11 kann vorerst nur mit Hilfe eines Workarounds über die Eingabeaufforderung eingedämmt werden.

„SearchNightmare“ folgt auf „Follina“

Die neuentdeckte Sicherheitslücke „SearchNightmare“, die bislang noch ohne eine eigene Referenz bei Common Vulnerabilities and Exposures (CVE) auskommen muss, folgt in kurzem zeitlichen Abstand zur „Follina“-Schwachstelle CVE-2022-30190 im Microsoft Support Diagnostic Tool, welche ebenfalls einen von Microsoft veröffentlichten Workaround notwendig macht.

Nach „ms-msdt“ kommt „search-ms“

Während beim „Follina“-Exploit das URL-Protokoll „ms-msdt“ deaktiviert werden musste, verkettet der neue Exploit eine Sicherheitslücke im Objektsystem „OLEObject“ mit dem Protokoll-Handler „search-ms“.

So ermöglicht es die Zero-Day-Lücke, dass durch den Start eines Word-Dokuments automatisch ein Suchfenster geöffnet wird, in dem beispielsweise ferngesteuerte Malware ausgeführt werden kann.

Der Hacker und Sicherheitsexperte @hackerfantastic demonstrierte den 0-Day-Exploit am Beispiel von Windows 10 und Microsoft Word 2019. Auf diesem Wege würde sich beispielsweise auch Schadsoftware über die Windows-Suchfenster, die durch schädliche Word-Dokumente geöffnet werden, Remote verbreiten lassen.

In weiteren Tweets demonstriert der Hacker auch gleich, wie sich der 0-Day-Exploit eindämmen und der URI-Handler „search-ms“ deaktivieren lässt.

Nachfolgend zeigt @hackerfantastic die Sicht eines betroffenen Anwenders auf und weist noch einmal ganz deutlich darauf hin, dass „SearchNightmare“ zwar die selben OLEObject-Protokolle nutzt wie die Lücken CVE-2021-40444 und CVE-2022-30190, es sich dabei aber um eine ganz eigenständige Schwachstelle handelt.

Ausmaß ist noch nicht bekannt

Während die Analyse der Schwachstelle durch Sicherheitsforscher und ein mögliches offizielles Statement von Microsoft in den nächsten Tagen mehr Auskunft über das Ausmaß und die Schwere der Schwachstelle geben werden, hat sich die auf Sicherheitsthemen spezialisierte Website BleepingComputer den 0-Day-Exploit einmal im Detail angesehen und auch bereits Expertenstimmen gesammelt.

Auch Will Dormann, Schwachstellenanalyst bei CERT/CC, erklärte in einem Beitrag auf Twitter, dass „SearchNightmare“ zwei verschiedene Schwachstellen für Angriffe ausnutze. Ohne die Behebung des Microsoft-Office-URI-Problems könnten zukünftig noch weitere Protokoll-Handler missbraucht werden, so der Sicherheitsexperte weiter.

Gegenüber BleepingComputer verwies ein Sprecher von Microsoft im Bezug auf „SearchNightmare“ auf den jederzeit erforderlichen sorgsamen Umgang mit Dokumenten aus unbekannter Herkunft.

This social engineering technique requires a user to run a malicious document and interact with a list of executables from an attacker specified network share. We recommend users practice safe computing habits and to only open files that come from trusted sources.

Microsoft