Vor kurzem, wir haben darüber geschrieben die sogenannte Follina Windows-Schwachstelle die später die Kennung CVE-2022-30190 erhielt.
Die Schwachstelle wurde vom nao_sec-Forschungsteam entdeckt, nach der Entdeckung eines Word-Dokuments, das von einer belarussischen IP-Adresse auf VirusTotal hochgeladen wurde. Kurz gesagt, Der Fehler nutzt den externen Link von Microsoft Word, um den HTML-Code zu laden, und verwendet dann das „ms-msdt“-Schema, um PowerShell-Code auszuführen.
Es ist bemerkenswert, dass das Problem erstmals im April von Microsoft als nicht sicherheitsrelevante Schwachstelle beschrieben wurde, nachdem ein Sicherheitsforscher der Shadow Chaser Group berichtet hatte, einen öffentlichen Exploit beobachtet zu haben. Trotz des Eingeständnisses, dass das Problem in freier Wildbahn aktiv ausgenutzt wurde, Microsoft hat es nicht als Zero-Day bezeichnet.
Lernen Sie den DogWalk Zero-Day kennen
Ein paar Wochen später, Ein weiterer, Es wurde eine schwerwiegendere Schwachstelle entdeckt, das ist schlimmer als das Follina Zero-Day. Diese Schwachstelle, genannt DogWalk, wurde Microsoft erstmals im Januar gemeldet 2020 von Sicherheitsforscher Imre Rad. Ähnlich wie beim ursprünglichen Bericht von Follina, Microsoft entschied, dass DogWalk nicht so schlimm sei, weil das Opfer eine Datei öffnen musste.
Leider, Diese erste Einschätzung des Unternehmens trifft nicht ganz zu. Es stellt sich heraus, dass es möglich ist, ein bösartiges Implantat in den Autostart-Ordner des angemeldeten Benutzers einzuschleusen. Dieses Mal wird es jedes Mal ausgeführt, wenn sich der Benutzer anmeldet, Das bedeutet, dass der Benutzer keine Datei herunterladen muss. Das liegt an seiner Art [ein .CAB-Archiv, das eine Diagnosekonfigurationsdatei enthält], und es wird nicht von Windows SmartScreen überprüft, wenn es von Edge oder Chrome heruntergeladen wird.
Weiter, Dieses Szenario ist mehr als plausibel, da das Microsoft-Diagnosetool (MSDT) ist anfällig für einen Path-Traversal-Angriff. Der Angriff kann auftreten, wenn ein speziell gestalteter Windows-Dateipfad bereitgestellt wird, um Dateien zu lesen oder zu schreiben, die normalerweise für den Aufrufer nicht verfügbar sind. Das Endergebnis ist, dass der Benutzer, der dazu verleitet wird, das fehlerhafte CAD-Archiv herunterzuladen, tatsächlich persistente Malware installiert, die derzeit nicht von Windows Defender erkannt wird.
Gibt es eine Milderung gegen den DogWalk Zero-Day?
Leider, im Augenblick, Es scheint keine offizielle Milderung gegen diese schwerwiegende Sicherheitslücke zu geben. Sicherheitsforscher empfehlen die folgenden Optionen, die Microsoft so schnell wie möglich implementieren sollte:
- Lassen Sie MSDT das sogenannte „Mark of the Web“-Flag beachten, das Windows verwendet, um ausführbare Dateien zu markieren, die aus dem Internet heruntergeladen wurden. Dieses Flag ist der Grund, warum Windows Explorer Sie fragt: „Sind Sie sicher, dass Sie diese Datei öffnen möchten??“, wenn Sie versuchen, eine ausführbare Datei zu öffnen, die Sie von Ihrem Browser heruntergeladen haben.
- Erkennung dieser spezifischen Schwachstelle zu Defender und Defender for Endpoint hinzufügen.
Wir werden die Geschichte von DogWalk verfolgen und diesen Artikel aktualisieren, sobald neue Informationen verfügbar sind. In der Zwischenzeit, du kannst lernen wie man den Follina-Fehler abmildert.