在微軟公佈了MSDT 支持診斷工具的高危漏洞之後，又有研究人員曝光了另一個可連接到遠程託管的惡意軟件的零日漏洞。問題在於被稱作“search-ms”的統一資源標識符（URI），相關應用或鏈接能夠藉此來啟用客戶端設備上的搜索功能，而現代的Windows 操作系統（比如11 / 10 / 7）又允許Windows Search 瀏覽本地和遠程主機上的文件。

正常情況下，用戶可設置一個帶有遠程主機和顯示名稱的URI、並在搜索窗口的標題欄上展現出來，而Windows可以使用各種方法來調用個性化搜索窗口（比如通過Web 瀏覽器、或Win+R 運行）。

然而BleepingComputer 指出，別有用心的人或利用協議處理程序來創建虛假的Windows 更新目錄、再誘騙用戶點擊偽裝成合法更新的惡意軟件。

慶幸的是，search-ms 協議漏洞仍需目標用戶執行部分手動操作、且現代瀏覽器（比如Microsoft Edge）都會彈出額外的安全警告。即便如此，攻擊者仍可利用其它“組合拳”來達成目的。

比如結合Microsoft Office OLEObject 中的一個新缺陷，便可繞過受保護的視圖並啟動URI 協議處理程序、而無需用戶交互介入。

為做概念驗證，@hackerfantastic 嘗試製作了一個可自動打開Windows 搜索窗口、並連接到遠程SMB 的Word 文檔。

此外由於search-ms 允許對搜索窗口進行重命名，黑客甚至可以通過“個性化”的搜索來誤導用戶上鉤。

在另一個概念驗證中，他甚至通過一個RTF 文檔實現了同樣的目的、且這次甚至無需啟動Word 即可得逞。

當文件資源管理器在預覽窗格上創建預覽時，search-ms 漏洞就會讓它自動啟動一個新的搜索窗口。

為堵住這個漏洞，廣大現代Windows 操作系統用戶（如11 / 10 / 7）可嘗試以下緩解措施：

● 使用WinKey+R 組合鍵，召喚’運行’窗口。

● 按下Ctrl + Shift + Enter 組合鍵，以管理員身份運行CMD 命令提示符。

● 輸入reg export HKEY_CLASSES_ROOTsearch-ms search-ms.reg 並執行，以創建密鑰備份。

● 鍵入reg delete HKEY_CLASSES_ROOTsearch-ms /f 並確認執行，以從Windows 註冊表中刪除密鑰。

目前微軟正在努力修補協議處理程序和相關Windows 功能中的漏洞，即便如此，安全專家仍警告黑客可能隨時找到其它可利用的組合缺陷。

有鑑於此，我們只能寄希望於微軟會專注於封堵“在無用戶交互介入下，便可利用Office 應用程序調動URI 處理程序”的功能漏洞。

事實上，去年的PrintNightmare 漏洞利用已是前車之鑑。然而當時微軟僅僅修復了一個組件，結果後來又讓研究人員曝光了其它漏洞。