研究人员警告未修补的“DogWalk”微软Windows漏洞
微软支持诊断工具 (MSDT) 中的一个新的 Windows 零日漏洞已经提供了一个非官方的安全补丁,即使 Follina 漏洞继续在野外被利用。
微软支持诊断工具 (MSDT) 中的一个新的 Windows 零日漏洞已经提供了一个非官方的安全补丁,即使 Follina 漏洞继续在野外被利用。
该问题(称为 DogWalk)与路径遍历漏洞有关,当潜在目标打开包含诊断配置文件的特制 “.diagcab” 存档文件时,可利用该漏洞将恶意可执行文件存储到 Windows 启动文件夹中。
这个想法是,有效载荷将在受害者下次重启后登录系统时执行。该漏洞影响所有 Windows 版本,从 Windows 7 和 Server Server 2008 到最新版本。
DogWalk 最初是由安全研究人员 Imre Rad 于 2020 年 1 月披露的,此前微软承认了该问题,并认为它不是安全问题。
“有许多文件类型可以以这种方式执行代码,但在技术上不是 ' 可执行文件 ',” 这家科技巨头当时表示。“其中一些被认为对于用户在电子邮件中下载 / 接收不安全,甚至在 Outlook 网页版和其他地方默认阻止‘.diagcab’。”
虽然通过电子邮件下载和接收的所有文件都包含一个 Web 标记 ( MOTW ) 标签,该标签用于确定其来源并触发适当的安全响应,但 0patch 的 Mitja Kolsek 指出,MSDT 应用程序并非旨在检查此标志和因此允许在没有警告的情况下打开 .diagcab 文件。
“Outlook 不是唯一的交付工具:包括 Microsoft Edge 在内的所有主要浏览器都可以通过简单地访问一个网站来愉快地下载此类文件,并且只需在浏览器的下载列表中单击(或错误单击)即可它打开了,” 科尔谢克说。
“与下载和打开任何其他能够执行攻击者代码的已知文件相比,该过程中没有显示警告。”
通过利用滥用 “ms-msdt:” 协议 URI 方案的恶意软件 Word 文档,积极利用 “ Follina ” 远程代码执行漏洞之后,补丁和对零日漏洞的重新关注。
根据企业安全公司 Proofpoint 的说法,该漏洞(CVE-2022-30190,CVSS 分数:7.8)正在被追踪为 TA570 的威胁行为者武器化,以提供 QBot(又名 Qakbot)信息窃取木马。
“Actor 使用带有 HTML 附件的线程劫持消息,如果打开这些附件,则会删除一个 ZIP 存档,” 该公司在一系列详细说明网络钓鱼攻击的推文中表示。
“存档包含一个带有 Word 文档、快捷方式文件和 DLL 的 IMG。LNK 将执行 DLL 以启动 QBot。该文档将加载并执行一个 HTML 文件,其中包含用于下载和执行 Qbot 的滥用 CVE-2022-30190 的 PowerShell。"
QBot 还被初始访问代理用来获得对目标网络的初始访问权限,从而使勒索软件附属机构能够滥用立足点部署文件加密恶意软件。
今年早些时候的 DFIR 报告还记录了 QBot 感染如何快速移动,使恶意软件能够在初始访问后仅 30 分钟内收集浏览器数据和 Outlook 电子邮件,并在 50 分钟左右将有效负载传播到相邻的工作站。
该问题(称为 DogWalk)与路径遍历漏洞有关,当潜在目标打开包含诊断配置文件的特制 “.diagcab” 存档文件时,可利用该漏洞将恶意可执行文件存储到 Windows 启动文件夹中。
这个想法是,有效载荷将在受害者下次重启后登录系统时执行。该漏洞影响所有 Windows 版本,从 Windows 7 和 Server Server 2008 到最新版本。
DogWalk 最初是由安全研究人员 Imre Rad 于 2020 年 1 月披露的,此前微软承认了该问题,并认为它不是安全问题。
“有许多文件类型可以以这种方式执行代码,但在技术上不是 ' 可执行文件 ',” 这家科技巨头当时表示。“其中一些被认为对于用户在电子邮件中下载 / 接收不安全,甚至在 Outlook 网页版和其他地方默认阻止‘.diagcab’。”
虽然通过电子邮件下载和接收的所有文件都包含一个 Web 标记 ( MOTW ) 标签,该标签用于确定其来源并触发适当的安全响应,但 0patch 的 Mitja Kolsek 指出,MSDT 应用程序并非旨在检查此标志和因此允许在没有警告的情况下打开 .diagcab 文件。
“Outlook 不是唯一的交付工具:包括 Microsoft Edge 在内的所有主要浏览器都可以通过简单地访问一个网站来愉快地下载此类文件,并且只需在浏览器的下载列表中单击(或错误单击)即可它打开了,” 科尔谢克说。
“与下载和打开任何其他能够执行攻击者代码的已知文件相比,该过程中没有显示警告。”
通过利用滥用 “ms-msdt:” 协议 URI 方案的恶意软件 Word 文档,积极利用 “ Follina ” 远程代码执行漏洞之后,补丁和对零日漏洞的重新关注。
根据企业安全公司 Proofpoint 的说法,该漏洞(CVE-2022-30190,CVSS 分数:7.8)正在被追踪为 TA570 的威胁行为者武器化,以提供 QBot(又名 Qakbot)信息窃取木马。
“Actor 使用带有 HTML 附件的线程劫持消息,如果打开这些附件,则会删除一个 ZIP 存档,” 该公司在一系列详细说明网络钓鱼攻击的推文中表示。
“存档包含一个带有 Word 文档、快捷方式文件和 DLL 的 IMG。LNK 将执行 DLL 以启动 QBot。该文档将加载并执行一个 HTML 文件,其中包含用于下载和执行 Qbot 的滥用 CVE-2022-30190 的 PowerShell。"
QBot 还被初始访问代理用来获得对目标网络的初始访问权限,从而使勒索软件附属机构能够滥用立足点部署文件加密恶意软件。
今年早些时候的 DFIR 报告还记录了 QBot 感染如何快速移动,使恶意软件能够在初始访问后仅 30 分钟内收集浏览器数据和 Outlook 电子邮件,并在 50 分钟左右将有效负载传播到相邻的工作站。
关于作者
评论1次
会不会是微软自己留下来的后门呢