For nylig, vi skrev om den såkaldte Follina Windows-sårbarhed som senere fik CVE-2022-30190 identifikatoren.
Sårbarheden blev afdækket af nao_sec-forskerholdet, efter opdagelsen af et Word-dokument, der er uploadet til VirusTotal fra en hviderussisk IP-adresse. Kort sagt, fejlen udnytter Microsoft Words eksterne link til at indlæse HTML'en og bruger derefter 'ms-msdt'-skemaet til at udføre PowerShell-kode.
Det er bemærkelsesværdigt, at problemet først blev beskrevet af Microsoft i april som en ikke-sikkerhedsmæssig sårbarhed, efter en sikkerhedsforsker med Shadow Chaser Group rapporterede at observere en offentlig udnyttelse. På trods af at han indrømmede, at problemet blev aktivt udnyttet i naturen, Microsoft beskrev det ikke som en nul-dag.
Mød DogWalk Zero-Day
Et par uger senere, en anden, mere alvorlig sårbarhed er blevet opdaget, hvilket er værre end Follina zero-day. Denne sårbarhed, døbt DogWalk, blev første gang rapporteret til Microsoft i januar 2020 af sikkerhedsforsker Imre Rad. På samme måde som det, der skete med den oprindelige rapport fra Follina, Microsoft besluttede, at DogWalk ikke var så slemt, fordi det krævede, at ofret skulle åbne en fil.
Desværre, denne indledende vurdering fra virksomhedens side er ikke helt rigtig. Det viser sig, at det er muligt at levere et ondsindet implantat til den loggede brugers opstartsmappe. Denne gang kører den hver gang brugeren logger på, hvilket betyder, at brugeren ikke behøver at downloade en fil. Dette skyldes dens type [et .CAB-arkiv, der indeholder en diagnosekonfigurationsfil], og det vil ikke blive kontrolleret af Windows SmartScreen, når det downloades fra Edge eller Chrome.
Endvidere, dette scenarie er mere end plausibelt, fordi Microsofts diagnostiske værktøj (MSDT) er tilbøjelig til et sti-gennemløbsangreb. Angrebet kan forekomme, når en specielt udformet Windows-filsti er implementeret til at læse eller skrive filer, der typisk ikke er tilgængelige for den, der ringer. Det endelige resultat er, at brugeren, der lokkes til at downloade det misdannede CAD-arkiv, faktisk vil installere vedvarende malware, der i øjeblikket ikke er opdaget af Windows Defender.
Er der nogen form for afbødning af DogWalk Zero-Day?
Desværre, i øjeblikket, der ser ikke ud til at være en officiel afbødning af dette alvorlige sikkerhedshul. Sikkerhed forskere antyder følgende muligheder, som Microsoft bør implementere så hurtigt som muligt:
- Få MSDT til at respektere det såkaldte "mark of the web"-flag, som Windows bruger til at markere eksekverbare filer, der blev downloadet fra internettet. Dette flag er grunden til, at Windows Stifinder spørger dig "er du sikker på, at du vil åbne denne fil?” når du forsøger at åbne en eksekverbar fil, du har downloadet fra din browser.
- Tilføj registrering af denne specifikke sårbarhed til Defender og Defender for Endpoint.
Vi vil følge historien om DogWalk og opdatere denne artikel, så snart ny information bliver tilgængelig. I mellemtiden, du kan lære hvordan man afbøder Follina-fejlen.