Onlangs, we schreven over de zogenaamde Follina Windows-kwetsbaarheid die later de CVE-2022-30190-identificatie kreeg.
De kwetsbaarheid is ontdekt door het onderzoeksteam van nao_sec, na de ontdekking van een Word-document dat is geüpload naar VirusTotal vanaf een Wit-Russisch IP-adres. Kort gezegd, de fout maakt gebruik van de externe link van Microsoft Word om de HTML te laden en gebruikt vervolgens het 'ms-msdt'-schema om PowerShell-code uit te voeren.
Het is opmerkelijk dat het probleem in april voor het eerst door Microsoft werd beschreven als een niet-beveiligingskwetsbaarheid, nadat een beveiligingsonderzoeker bij Shadow Chaser Group een openbare exploit had waargenomen. Ondanks toe te geven dat het probleem actief werd uitgebuit in het wild, Microsoft beschreef het niet als een zero-day.
Maak kennis met de DogWalk Zero-Day
Een paar weken later, een ander, ernstiger kwetsbaarheid ontdekt, die erger is dan de Follina zero-day. Deze kwetsbaarheid, nagesynchroniseerde DogWalk, werd voor het eerst gerapporteerd aan Microsoft in januari 2020 door beveiligingsonderzoeker Imre Rad. Vergelijkbaar met wat er gebeurde met het originele rapport van Follina, Microsoft besloot dat DogWalk niet zo erg was omdat het slachtoffer een bestand moest openen.
Helaas, deze eerste beoordeling door het bedrijf is niet precies waar. Het blijkt dat het mogelijk is om een kwaadaardig implantaat af te leveren in de opstartmap van de ingelogde gebruiker. Deze keer wordt het uitgevoerd elke keer dat de gebruiker inlogt, wat betekent dat de gebruiker geen bestand hoeft te downloaden. Dit komt door het type [een .CAB-archief met een configuratiebestand voor diagnose], en het wordt niet gecontroleerd door Windows SmartScreen wanneer het is gedownload van Edge of Chrome.
Bovendien, dit scenario is meer dan aannemelijk omdat het diagnoseprogramma van Microsoft (MSDT) is vatbaar voor een path-traversal-aanval. De aanval kan plaatsvinden wanneer een speciaal vervaardigd Windows-bestandspad wordt gebruikt om bestanden te lezen of te schrijven die normaal gesproken niet beschikbaar zijn voor de beller. Het uiteindelijke resultaat is dat de gebruiker die wordt verleid om het misvormde CAD-archief te downloaden, in feite persistente malware zal installeren die momenteel niet wordt gedetecteerd door Windows Defender.
Is er enige beperking tegen de DogWalk Zero-Day??
Helaas, momenteel, er lijkt geen officiële oplossing te zijn voor deze ernstige maas in de beveiliging. beveiliging onderzoekers stel voor de volgende opties die Microsoft zo snel mogelijk moet implementeren::
- Zorg ervoor dat MSDT de zogenaamde "mark of the web"-vlag eert die Windows gebruikt om uitvoerbare bestanden te markeren die van internet zijn gedownload. Deze vlag is de reden waarom Windows Verkenner u vraagt "weet u zeker dat u dit bestand wilt openen?"?” wanneer u een uitvoerbaar bestand probeert te openen dat u vanuit uw browser hebt gedownload.
- Voeg detectie van deze specifieke kwetsbaarheid toe aan Defender en Defender for Endpoint.
We zullen het verhaal van DogWalk volgen en dit artikel bijwerken zodra er nieuwe informatie beschikbaar is. In de tussentijd, je kunt leren hoe de Follina-fout te verminderen?.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: