Microsoft Windows .Group文件URL字段零日漏洞分析

Microsoft Windows .Group文件URL字段零日漏洞分析 漏洞概述 本漏洞涉及Microsoft Windows操作系统中的.Group文件类型，该文件类型由Windows Contacts（Windows联系人管理程序）创建。当用户点击"Contact Group Details"标签中的"Website Go"按钮时，如果URL字段指向一个可执行文件，会导致非预期的代码执行。 技术细节 受影响组件 Windows Contacts ：Windows内置的联系人管理程序 .Group文件 ：用于存储一系列联系人信息的文件格式，可用于创建邮件列表 漏洞触发条件 攻击者创建一个恶意的.Group文件 在该文件的URL字段中插入指向可执行文件的路径 诱使用户打开该.Group文件并点击"Contact Group Details"标签中的"Website Go"按钮 漏洞原理 当用户点击"Website Go"按钮时，系统会直接执行URL字段指定的内容，而不进行适当的验证。如果该字段指向可执行文件（如.exe、.bat等），系统将直接执行该文件，导致任意代码执行。 历史背景 安全研究人员John Page曾在2018年12月通过ZDI（Zero Day Initiative）向Microsoft报告过一个类似的高危漏洞： 涉及文件类型：CONTACT文件（Windows联系人文件） CVSS评分：7.8（高危） 攻击场景：需要诱使用户访问恶意页面或打开恶意文件 微软响应：当时未立即修复，表示会在将来解决 漏洞评级 研究人员认为.Group文件漏洞同样属于高危漏洞，其严重程度与之前报告的CONTACT文件漏洞相当。 微软响应 微软认为此.Group文件漏洞与之前报告的CONTACT文件漏洞属于同一类型，而之前的漏洞至今仍未修复。 潜在影响 成功利用此漏洞可能导致： 在当前用户上下文中执行任意代码 系统被完全控制（取决于当前用户权限） 恶意软件传播 数据泄露 缓解措施 由于微软尚未发布官方补丁，建议采取以下防护措施： 不要打开来源不明的.Group文件 禁用Windows Contacts组件（如果不需要使用） 使用最低权限账户进行日常操作 保持系统和安全软件更新 时间线 2020年1月3日：漏洞公开披露 2018年12月：相关CONTACT文件漏洞最初报告 参考链接 原始漏洞报告：[ John Page的个人博客 ] ZDI披露内容：[ Zero Day Initiative ] Microsoft安全响应中心 请注意，此漏洞利用需要用户交互（点击操作），但社会工程学攻击可能诱使用户执行此类操作。建议用户提高安全意识，谨慎处理未知文件。