研究人員警告未修補的“DogWalk”微軟Windows漏洞

微軟支持診斷工具 (MSDT) 中的一個新的 Windows 零日漏洞已經提供了一個非官方的安全補丁，即使 Follina 漏洞繼續在野外被利用。

該問題（稱為DogWalk）與路徑遍歷漏洞有關，當潛在目標打開包含診斷配置文件的特制“.diagcab”存檔文件時，可利用該漏洞將惡意可執行文件存儲到Windows啟動文件夾中。

這個想法是，有效載荷將在受害者下次重啟后登錄系統時執行。該漏洞影響所有Windows版本，從Windows 7和Server Server 2008到最新版本。

DogWalk 最初是由安全研究人員 Imre Rad 于 2020 年 1 月披露的，此前微軟承認了該問題，并認為它不是安全問題。

“有許多文件類型可以以這種方式執行代碼，但在技術上不是'可執行文件'，”這家科技巨頭當時表示。“其中一些被認為對于用戶在電子郵件中下載/接收不安全，甚至在 Outlook 網頁版和其他地方默認阻止‘.diagcab’。”

雖然通過電子郵件下載和接收的所有文件都包含一個 Web 標記 ( MOTW ) 標簽，該標簽用于確定其來源并觸發適當的安全響應，但 0patch 的 Mitja Kolsek 指出，MSDT 應用程序并非旨在檢查此標志和因此允許在沒有警告的情況下打開 .diagcab 文件。

“Outlook 不是唯一的交付工具：包括 Microsoft Edge 在內的所有主要瀏覽器都可以通過簡單地訪問一個網站來愉快地下載此類文件，并且只需在瀏覽器的下載列表中單擊（或錯誤單擊）即可它打開了，”科爾謝克說。

“與下載和打開任何其他能夠執行攻擊者代碼的已知文件相比，該過程中沒有顯示警告。”

通過利用濫用“ms-msdt:”協議 URI 方案的惡意軟件 Word 文檔，積極利用“ Follina ”遠程代碼執行漏洞之后，補丁和對零日漏洞的重新關注。

根據企業安全公司 Proofpoint 的說法，該漏洞（CVE-2022-30190，CVSS 分數：7.8）正在被追蹤為TA570的威脅行為者武器化，以提供QBot（又名 Qakbot）信息竊取木馬。

“Actor 使用帶有 HTML 附件的線程劫持消息，如果打開這些附件，則會刪除一個 ZIP 存檔，”該公司在一系列詳細說明網絡釣魚攻擊的推文中表示。

“存檔包含一個帶有 Word 文檔、快捷方式文件和 DLL 的 IMG。LNK 將執行 DLL 以啟動 QBot。該文檔將加載并執行一個 HTML 文件，其中包含用于下載和執行 Qbot 的濫用 CVE-2022-30190 的 PowerShell。"

QBot 還被初始訪問代理用來獲得對目標網絡的初始訪問權限，從而使勒索軟件附屬機構能夠濫用立足點部署文件加密惡意軟件。

今年早些時候的 DFIR 報告還記錄了 QBot 感染如何快速移動，使惡意軟件能夠在初始訪問后僅 30 分鐘內收集瀏覽器數據和 Outlook 電子郵件，并在 50 分鐘左右將有效負載傳播到相鄰的工作站。