最近, 私たちはについて書いた いわゆるFollinaWindowsの脆弱性 後でCVE-2022-30190識別子が与えられました.
脆弱性はnao_sec研究チームによって発掘されました, ベラルーシのIPアドレスからVirusTotalにアップロードされたWordドキュメントの発見に続いて. すぐに言った, この欠陥は、Microsoft Wordの外部リンクを利用してHTMLをロードし、「ms-msdt」スキームを使用してPowerShellコードを実行します。.
この問題が4月にMicrosoftによってセキュリティ以外の脆弱性として最初に説明されたことは注目に値します。, Shadow Chaser Groupのセキュリティ研究者が、パブリックエクスプロイトの観察を報告した後. 問題が野生で積極的に悪用されたことを認めているにもかかわらず, マイクロソフトはそれをゼロデイとは言いませんでした.
DogWalkゼロデイに会う
数週間後, 別, より深刻な脆弱性が発見されました, これはフォッリーナよりも悪いです ゼロデイ. この脆弱性, 吹き替えDogWalk, 1月に最初にMicrosoftに報告されました 2020 セキュリティ研究者ImreRadによる. フォッリーナの元のレポートで起こったことと同様に, Microsoftは、被害者がファイルを開く必要があるため、DogWalkはそれほど悪くないと判断しました。.
不運にも, 会社によるこの最初の評価は正確には真実ではありません. ログインしたユーザーのスタートアップフォルダに悪意のあるインプラントを配信する可能性があることが判明しました. 今回は、ユーザーがログインするたびに実行されます, これは、ユーザーがファイルをダウンロードする必要がないことを意味します. これはそのタイプによるものです [診断構成ファイルを含む.CABアーカイブ], また、EdgeまたはChromeからダウンロードしたときにWindowsSmartScreenによってチェックされません.
さらに, このシナリオは、Microsoftの診断ツールが原因で、もっともらしいものです。 (MSDT) パストラバーサル攻撃を受けやすい. 攻撃は、特別に細工されたWindowsファイルパスが展開されて、通常は呼び出し元が利用できないファイルの読み取りまたは書き込みを行う場合に発生する可能性があります。. 最終的な結果として、不正な形式のCADアーカイブをダウンロードするように誘惑されたユーザーは、実際には、現在WindowsDefenderによって検出されていない永続的なマルウェアをインストールします。.
DogWalkゼロデイに対する緩和策はありますか?
不運にも, この時点で, この深刻なセキュリティの抜け穴に対する公式の緩和策はないようです. セキュリティ研究者 提案 Microsoftができるだけ早く実装する必要がある次のオプション:
- MSDTに、インターネットからダウンロードされた実行可能ファイルをマークするためにWindowsが使用するいわゆる「Webのマーク」フラグを尊重させる. このフラグが、Windowsエクスプローラーが「このファイルを開いてもよろしいですか?」と尋ねる理由です。?ブラウザからダウンロードした実行可能ファイルを開こうとしたとき.
- この特定の脆弱性の検出をDefenderおよびDefenderforEndpointに追加します.
DogWalkのストーリーをフォローし、新しい情報が利用可能になり次第、この記事を更新します. その間, 学ぶことが出来ます フォッリーナの欠陥を軽減する方法.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: