搜索-ms 协议被攻击者利用的新手法

关键要点

• 攻击者通过恶意文档利用“search-ms”协议，诱导用户访问恶意网站。
• 该协议通常用于Windows搜索，但可被攻击者结合其他漏洞，成为更广泛网络钓鱼或恶意软件攻击的一部分。
• 安全团队需要提前准备应对这一攻击方法的增加。

攻击者已经提升了他们利用“search-ms”统一资源标识符（URI）协议的手法，他们通过恶意文档引导用户访问利用搜索-ms功能的网站，使用托管在该页面上的JavaScript。

“search-ms”协议允许 Windows 用户通过 URI 执行搜索操作。通常，这是一个无害的操作，但如果与其他漏洞结合使用，例如在 Windows文档中，攻击者可能会将其作为更大范围的网络钓鱼或恶意软件攻击的一部分。

在Trellix的一篇中，研究人员指出，利用搜索-ms URI协议处理程序的攻击中，威胁行为者有可能创建包含超链接或邮件附件的欺骗性电子邮件，重定向用户到被攻陷的网站。当用户访问该网站时，恶意Java脚本利用搜索-msURI协议处理程序在远程服务器上发起搜索。

Trellix的研究人员表示，由于协议处理程序已成为一种强大的初始攻击向量，因此安全团队需提前预计通过该方法增加的攻击：它为威胁行为者提供了一种便捷的方法来投放恶意有效载荷，同时规避传统的安全防御。

“在 Windows 资源管理器中，托管在远程的恶意快捷方式文件的搜索结果被伪装成 PDF 或其他受信任的图标，与本地搜索结果相似。”Trellix
的研究人员解释道。“这一技术掩盖了用户所查看的是远程文件的事实，给用户创造了信任的幻觉。因此，用户更可能打开这些文件，假设它们来自自己的系统，且在不知情的情况下执行恶意代码。”

Critical Start 的网络威胁研究高级经理 Callie Guenther 解释了这一场景，在此场景中，威胁行为者创建恶意的文档，利用 Microsoft Office 和 Windows 中的漏洞，触发搜索-ms 协议处理程序在受害者计算机上打开一个远程
Windows 搜索窗口。Guenther 说，该窗口列出了托管在远程 SMB 共享上的可执行文件，伪装成“关键更新”等无害的名称。

“如果受害者被欺骗执行这些文件，他们将不知不觉地在自己的系统上安装恶意软件。”Guenther表示。 “建议的缓解策略是从中删除搜索-ms 协议处理程序。这样做可以防止恶意文档引发“search-
ms”命令，从而保护用户免受这一特定攻击向量的影响。”

Conversant Group的董事总经理 Eli Nussbaum 补充道，这种新发现的方法依赖于用户错误，但利用了防御边界的薄弱。

Nussbaum表示，此攻击需依赖于组织防御的多个层面存在漏洞。首先，合理配置电子邮件过滤器与 URL 重写和恶意内容控制将限制搜索-
ms攻击的影响。其次，这取决于对外部互联网浏览的限制——无论是防火墙还是互联网代理级别。再一次，外出控制至关重要。

“在外围和本地设备上的电子邮件网关、防火墙和内容检查工具，以及适当的EDR/MDR，都在降低这一攻击向量的风险方面发挥了重要作用。”Nussbaum说。“这一新威胁将很难突破一个合理分层的安全策略，该策略能不断演变并利用当前的威胁情报进行主动更新。抛开技术手段，这一攻击的根本原因在于用户被欺骗，认为他们正在查看文件——而不是在互联网，而是他们的本地网络/计算机上。这降低了用户的怀疑，并增加了他们打开恶意文件的可能性。”

虽然Nuss