点击一下，即可在 Windows 10 实现路过式远程代码执行，未修复

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

该漏洞是存在于 Windows 10/11 ms-officecmd:URIs 默认句柄中的一个参数注入漏洞，位于通过 IE 11/Edge Legacy 浏览器和 Microsoft Teams 访问的 Windows 10 中。

虽然微软之后发布补丁，但研究人员表示补丁是在漏洞提交5个月之后发布的，且“未能正确地处理底层的参数注入漏洞，该漏洞目前仍然位于 Windows 11 中。”

Windows 内部使用 ms-officecmd:URIs 启动多项微软计划。

Positive Security公司的研究员发布文章指出，可以构造一个URL，而当用户点击时就会在启动 Microsoft Teams 的同时执行恶意命令。之后结合 IE 11/Edge Legacy 中的一个漏洞，访问恶意网站即可触发该 exploit。

研究人员还提醒称，目前该漏洞仍然存在于操作系统中。

安全研究员 Fabian Bräunlein 表示，“首先，攻击者或者访问 IE11/Edge Legacy 中的恶意网站或点击另外一个浏览器或桌面应用程序中的恶意链接，之后该链接被转到 LocalBride.exe，后者将一部分链接作为参数，运行多个Office可执行文件。研究人员发现可注入其它参数，从而以额外的 --gpu-launcher 参数（随后由 Electron 解释）触发启动 Microsoft Teams，最终实现代码执行。“

如通过其它浏览器实施利用，则要求受害者接受一个不起眼的确认对话。

或者，也可通过一个执行不安全URL处理的桌面应用程序交付恶意 URI。然而，该 exploit 的前提是安装但不运行 Microsoft Teams。Bräunlein 指出，团队在今年年初开展研究后找到了该漏洞，当时他们调查了不同流行桌面应用程序如何通过非标准的URI计划处理URL，并在其中几个URL中发现了一些漏洞。

Bräunlein 解释称，“为了在 Windows 上展示利用情况，我们基本使用了和文件相关的计划，以及托管在可从互联网访问的文件共享上托管的可执行文件/jar 文件。这些payload 或者要求安装 Java 或要求证实用于运行可执行文件的对话。我们想通过在 Windows 预装的 URI 句柄中的一个代码执行漏洞，改进基于恶意URL的攻击场景。”

当研究员报告该漏洞时，微软指出由于攻击属于社工，因此不满足获得漏洞奖励的条件，但Positive Security 公司指出微软“错过了整个漏洞并完全放弃”。经过长时间的拉锯战之后，研究员获得了5000美元的奖励，但Positive Security 公司认为这一奖励太少，仅相当于最多奖励的10%。更多技术详情可参见博客原文。

研究人员表示，虽然 PoC 已不再起作用，但该参数注入漏洞尚未被修复。

从研究员公开的时间线来看，微软曾在2021年9月16日表示将“在几天后”推出补丁，但研究人员表示底层的参数注入漏洞本身仍未修复。

微软尚未就此事置评。