Recentemente, di cui abbiamo scritto la cosiddetta vulnerabilità di Follina Windows a cui è stato successivamente assegnato l'identificatore CVE-2022-30190.
La vulnerabilità è stata scoperta dal team di ricerca di nao_sec, in seguito alla scoperta di un documento Word caricato su VirusTotal da un indirizzo IP bielorusso. Poco detto, il difetto sfrutta il collegamento esterno di Microsoft Word per caricare l'HTML e quindi utilizza lo schema "ms-msdt" per eseguire il codice PowerShell.
È interessante notare che il problema è stato descritto per la prima volta da Microsoft ad aprile come una vulnerabilità non di sicurezza, dopo che un ricercatore di sicurezza con Shadow Chaser Group ha riferito di aver osservato un exploit pubblico. Nonostante abbia ammesso che il problema è stato attivamente sfruttato in natura, Microsoft non lo ha descritto come un giorno zero.
Incontra DogWalk Zero-Day
Qualche settimana dopo, un altro, è stata scoperta una vulnerabilità più grave, che è peggio del Follina zero-day. Questa vulnerabilità, soprannominato DogWalk, è stato segnalato per la prima volta a Microsoft a gennaio 2020 dal ricercatore di sicurezza Imre Rad. Analogamente a quanto accaduto con la relazione originaria di Follina, Microsoft ha deciso che DogWalk non era così male perché richiedeva alla vittima di aprire un file.
Sfortunatamente, questa prima valutazione da parte dell'azienda non è esattamente vera. Si scopre che è possibile inviare un impianto dannoso alla cartella di avvio dell'utente connesso. Questa volta verrà eseguito ogni volta che l'utente effettua l'accesso, il che significa che l'utente non ha bisogno di scaricare un file. Ciò è dovuto al suo tipo [un archivio .CAB contenente un file di configurazione della diagnostica], e non verrà controllato da Windows SmartScreen dopo essere stato scaricato da Edge o Chrome.
Inoltre, questo scenario è più che plausibile perché lo strumento di diagnostica Microsoft (MSDT) è soggetto a un attacco di attraversamento del percorso. L'attacco può verificarsi quando un percorso file Windows appositamente predisposto viene distribuito per leggere o scrivere file in genere non disponibili per il chiamante. Il risultato finale è che l'utente che viene indotto a scaricare l'archivio CAD non valido installerà di fatto malware persistente non rilevato da Windows Defender.
C'è qualche mitigazione contro il DogWalk Zero-Day?
Sfortunatamente, al momento, non sembra esserci una mitigazione ufficiale contro questa grave scappatoia di sicurezza. I ricercatori di sicurezza suggerire le seguenti opzioni che Microsoft dovrebbe implementare il prima possibile:
- Fai in modo che MSDT onori il cosiddetto flag "mark of the web" che Windows utilizza per contrassegnare gli eseguibili scaricati da Internet. Questo flag è il motivo per cui Esplora risorse di Windows ti chiede "Sei sicuro di voler aprire questo file?” quando provi ad aprire un file eseguibile che hai scaricato dal tuo browser.
- Aggiungi il rilevamento di questa vulnerabilità specifica a Defender e Defender for Endpoint.
Seguiremo la storia di DogWalk e aggiorneremo questo articolo non appena saranno disponibili nuove informazioni. Nel frattempo, si può imparare come mitigare il difetto di Follina.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: