Windows: attenzione agli indirizzi che aprono finestre di Esplora file contenenti malware

Un URI (Uniform Resource Identifier) è un oggetto che permette di identificare una risorsa fisica o logica. Ne abbiamo parlato nell’articolo in cui abbiamo visto cos’è un URL e come è strutturato.
In Windows sono registrati molti URI: un indirizzo che comincia con microsoft-edge:// permette ad esempio di aprire una pagina Web o una qualunque altra risorsa con il browser di Microsoft. Lo abbiamo visto nell’articolo in cui spieghiamo perché Microsoft blocca i tentativi di modifica dell’URI usato da Edge sui sistemi Windows.

Provate a digitare App predefinite nella casella di ricerca di Windows quindi cliccare su Scegli app predefinite per protocollo: nella finestra che appare è possibile rendersi conto di quali e quanti URI sono registrati a livello di sistema operativo.

Tra i tanti URI in elenco c’è search-ms: esso permette alle applicazioni o a pagine Web di avviare una ricerca personalizzata con la funzione integrata in Windows.
Sebbene la maggior parte delle ricerche si concentri sull’utilizzo dell’indice memorizzato nel dispositivo locale (abbiamo visto come funziona la ricerca in Windows), è anche possibile forzare Windows Search ad attingere al contenuto delle risorse condivise in rete con la possibilità di alterare anche il titolo della finestra di ricerca.

Gli aggressori possono inserire URI search-ms all’interno di email di phishing e indurre l’utente a cliccare sul link presentando quanto contenuto come aggiornamenti Microsoft non posticipabili. L’aggressore dovrebbe soltanto predisporre una condivisione Windows accessibile da remoto e presentare falsi aggiornamenti per il sistema operativo che in realtà contengono malware.

La vulnerabilità scoperta nello strumento MSDT scoperta qualche giorno fa può essere ad esempio utilizzata per aprire una finestra Windows Search che fa riferimento a un server remoto contenente malware. Il tutto senza che compaiano avvisi di sicurezza o sia richiesta qualche forma di interazione da parte dell’utente, eccezion fatta per il clic su un link. Una dimostrazione è stata pubblicata su Twitter: in questo caso viene aperto l’URL leggittimo di Microsoft live.sysinternals.com contenente le ultime versioni delle utilità SysInternals.

Per mettersi al riparo da eventuali tentativi di attacco si può disattivare la gestione del protocollo search-ms in Windows: basta digitare cmd nella casella di ricerca, cliccare su Esegui come amministratore quindi impartire i seguenti due comandi:

reg export HKCR\search-ms %userprofile%\search-ms.reg

reg delete HKCR\search-ms /f

Il primo comando crea una copia della chiave del registro di sistema contenente il riferimento al protocollo search-ms nella cartella del profilo utente: basterà fare doppio clic sul file search-ms.reg per ripristinare la configurazione predefinita.
Il secondo comando disattiva invece la gestione degli URI search-ms.