Uma ameaça perigosa foi recentemente identificada por pesquisadores de segurança como a vulnerabilidade do serviço Windows Search. Seu nome alternativo é Bookworm e embora tenha sido relatado à Microsoft, a empresa ainda não corrigiu o problema.
Tudo sobre a vulnerabilidade do Bookworm Windows Search Service
A divulgação pública da vulnerabilidade do Bookworm levou a comunidade de segurança a examinar mais de perto o componente do sistema operacional que foi considerado vulnerável. Os relatórios indicam que esta é uma vulnerabilidade do serviço Windows Search classificada como perigosa tanto para o host infectado quanto para a rede na qual ele funciona. Seguindo os protocolos de segurança, o bug de dia zero foi divulgado para a Microsoft em devido tempo, no entanto, eles ainda não lançaram um patch que corrige o problema. Como isso não aconteceu em devido tempo, as informações sobre isso foram postadas publicamente.
A descoberta foi feita depois que uma análise de rede indicou comportamento suspeito do serviço SearchProtocolHost.exe do Windows. O problema parece ser o manuseio impróprio de arquivos de URL e hiperlinks. O tráfego de FTP gerado parece ser feito em intervalos aleatórios, isso aumentou o interesse adicional na produção, levando à descoberta da ameaça.
Como o componente do Windows parece lidar com arquivos .URL de maneira inadequada, bem como o código relevante e os atributos de arquivo, os analistas conseguiram identificar as origens do mau comportamento. O comportamento malicioso
A vulnerabilidade do Bookworm Windows Search Service foi encontrada para iniciar assim que os requisitos forem atendidos - uma pasta contendo o arquivo relevante que é iniciado pelo usuário. Isso é possível mesmo com dispositivos de armazenamento removíveis, como unidades flash USB. Os arquivos maliciosos permitem que os hackers revelem informações confidenciais sobre os hosts. Afeta a configuração padrão do sistema operacional e remonta pelo menos ao Windows 7.
Consequentemente, o uso deste bug em ataques de hackers pode ajudar a revelar as seguintes informações sobre os hosts alvo:
- Estado da máquina host e seu endereço IP público.
- O status da rede do usuário - se ele está ou não atrás de um firewall que permite conexões FTP.
- A introdução de dispositivos de armazenamento removíveis para os hosts.
- Transferência de dados de / para o diretório.
Até esta data, a vulnerabilidade do Bookworm Windows Search Service não foi explorada à solta, pois os pesquisadores de segurança não receberam nenhum relatório indicando uma intrusão.