В компоненте Поиск Windows нашли уязвимость нулевого дня

В компоненте Поиск Windows нашли уязвимость нулевого дня

В компоненте Поиск Windows нашли уязвимость нулевого дня

Новая уязвимость нулевого дня (0-day) в компоненте Поиск Windows (Windows Search) позволяет злоумышленники открыть окно, содержащее хранящиеся удалённо исполняемые файлы вредоносных программ. Для эксплуатации достаточно запустить документ Word.

Проблема кроется в обработке URI-протокола “search-ms“, который позволяет приложениям и HTML-ссылкам запускать настраиваемый поиск на устройстве. Чаще всего поисковые запросы «обращаются» внутрь устройства, однако Поиск Windows можно заставить запросить общие файловые ресурсы, расположенные на удалённых хостах. Для этого применяются кастомные заголовки.

Например, популярный набор утилит Sysinternals позволяет пользователю удалённо подключить live.sysinternals.com как сетевую шару, после чего запускать инструменты оттуда. В подобной схеме может использоваться следующий URI “search-ms“:

search-ms:query=proc&crumb=location:%5C%5Clive.sysinternals.com&displayname=Searching%20Sysinternals

Как видно из запроса, переменная “crumb“ определяет местоположение, а другая переменная — “displayname“ — устанавливает поисковой заголовок. В системах Windows 7, Windows 10 и Windows 11 можно вызвать окно поиска с помощью команды в Run или запуска в строке веб-браузера.

Есть и проблема такого метода эксплуатации: потенциальную жертву будет достаточно сложно заставить перейти по соответствующей ссылке, учитывая, что браузер выводит предупреждение.

 

Тем не менее основатель Hacker House и исследователь в области кибербезопасности Мэтью Хики нашёл способ задействовать брешь OLEObject в Microsoft Office вместе с “search-ms“, что в итоге позволило ему открыть окно удалённого поиска с помощью Word-документа.

Напомним, что другую 0-day в Microsoft Office начали использовать китайские киберпреступники из APT-группы TA413.

Японский школьник с ChatGPT уронил аниме-сервис и отменил 46 тыс. подписок

В Японии полиция задержала 15-летнего старшеклассника, которого подозревают в атаке на Bandai Channel — платный стриминговый сервис с аниме. По версии следствия, подросток нашёл уязвимость в серверах платформы и с её помощью отменил более 46 тысяч пользовательских подписок.

Полиция Токио считает, что школьник изучал сетевой трафик сервиса, нашёл слабое место и написал вредоносную программу для автоматизации атаки.

По данным следствия, для разработки он использовал ChatGPT. В ноябре 2025 года подросток якобы отправлял на серверы компании поддельные данные, из-за чего подписки массово слетали, а сам сервис пришлось временно остановить.

Сначала парня задержали в июне по подозрению во входе в Bandai Channel через чужую учётную запись. Но затем расследование вывело полицию на более крупный эпизод — ту самую атаку с десятками тысяч отменённых подписок.

Подросток признал обвинения. По данным полиции, он заявил, что не держал зла на компанию, сам учился программированию и просто любил анализировать сетевые коммуникации. Получилось, мягко говоря, слишком увлекательно.

Оператор Bandai Channel сообщал, что после инцидента платформу пришлось отключить более чем на месяц: компания чинила системы и возвращала деньги пострадавшим подписчикам. Когда специалисты заблокировали доступ подозреваемого, он, по версии полиции, продолжил атаку, меняя IP-адреса.

Компания обратилась в полицию ещё в ноябре. Следователи вышли на школьника после анализа коммуникационных записей.

RSS: Новости на портале Anti-Malware.ru