Recentemente, nós escrevemos sobre a chamada vulnerabilidade do Follina Windows que mais tarde recebeu o identificador CVE-2022-30190.
A vulnerabilidade foi descoberta pela equipe de pesquisa nao_sec, após a descoberta de um documento do Word carregado no VirusTotal de um endereço IP da Bielorrússia. disse brevemente, a falha aproveita o link externo do Microsoft Word para carregar o HTML e, em seguida, usa o esquema 'ms-msdt' para executar o código do PowerShell.
Vale ressaltar que o problema foi descrito pela primeira vez pela Microsoft em abril como uma vulnerabilidade não relacionada à segurança, depois que um pesquisador de segurança do Shadow Chaser Group relatou ter observado uma exploração pública. Apesar de admitir que a questão foi ativamente explorada na natureza, A Microsoft não o descreveu como um dia zero.
Conheça o DogWalk Zero-Day
Algumas semanas depois, outro, vulnerabilidade mais grave foi descoberta, que é pior que o Follina zero-day. Esta vulnerabilidade, apelidado de DogWalk, foi relatado pela primeira vez à Microsoft em janeiro 2020 pelo pesquisador de segurança Imre Rad. À semelhança do que aconteceu com a reportagem original da Follina, A Microsoft decidiu que DogWalk não era tão ruim porque exigia que a vítima abrisse um arquivo.
Infelizmente, esta avaliação inicial da empresa não é exatamente verdadeira. Acontece que é possível entregar um implante malicioso na pasta de inicialização do usuário logado. Desta vez, ele será executado toda vez que o usuário fizer login, significando que o usuário não precisa baixar um arquivo. Isso se deve ao seu tipo [um arquivo .CAB contendo um arquivo de configuração de diagnóstico], e não será verificado pelo Windows SmartScreen ao ser baixado do Edge ou Chrome.
além disso, esse cenário é mais do que plausível porque a ferramenta de diagnóstico da Microsoft (MSDT) é propenso a um ataque de passagem de caminho. O ataque pode ocorrer quando um caminho de arquivo do Windows especialmente criado é implantado para ler ou gravar arquivos normalmente indisponíveis para o chamador. O resultado final é que o usuário que é atraído para baixar o arquivo CAD malformado, de fato, instalará um malware persistente atualmente não detectado pelo Windows Defender.
Existe alguma mitigação contra o DogWalk Zero-Day?
Infelizmente, no momento, não parece haver uma mitigação oficial contra essa grave brecha de segurança. Os pesquisadores de segurança sugerir as seguintes opções que a Microsoft deve implementar o mais rápido possível:
- Faça o MSDT honrar o chamado sinalizador “marca da web” que o Windows usa para marcar executáveis que foram baixados da Internet. Este sinalizador é o motivo pelo qual o Windows Explorer pergunta se você tem certeza de que deseja abrir este arquivo?” quando você tenta abrir um arquivo executável que você baixou do seu navegador.
- Adicione a detecção desta vulnerabilidade específica ao Defender e Defender for Endpoint.
Estaremos acompanhando a história do DogWalk e atualizaremos este artigo assim que novas informações estiverem disponíveis. Enquanto isso, você pode aprender como mitigar a falha de Follina.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: