Vulnerabilidade do Windows na Microsoft Support Diagnostic Tool recebe patch não oficial

vulnerabilidade-do-windows-na-microsoft-support-diagnostic-tool-recebe-patch-nao-oficial

Um patch de segurança não oficial foi disponibilizado para uma nova vulnerabilidade de zero dia do Windows no Microsoft Support Diagnostic Tool (MSDT). Apesar disso, a falha Follina continua sendo amplamente explorada pelos agentes maliciosos.

Ação do DogWalk

A vulnerabilidade conhecida como DogWalk, está relacionada a uma falha de passagem de caminho que pode ser explorada para armazenar um arquivo executável malicioso na pasta de inicialização do Windows quando um alvo em potencial abre um arquivo “.diagcab” especialmente criado que contém um arquivo de configuração de diagnóstico.

A ideia é que a carga útil seja executada na próxima vez que a vítima fizer login no sistema após uma reinicialização. A vulnerabilidade afeta todas as versões do Windows, desde o Windows 7 e Server Server 2008 até as versões mais recentes.

O DogWalk foi originalmente divulgado pelo pesquisador de segurança Imre Rad em janeiro de 2020, depois que a Microsoft, tendo reconhecido o problema, o considerou não um problema de segurança. “Existem vários tipos de arquivos que podem executar código dessa maneira, mas não são tecnicamente ‘executáveis'”, disse a gigante da tecnologia na época. “E vários deles são considerados inseguros para os usuários baixarem/receberem por email, mesmo ‘.diagcab’ é bloqueado por padrão no Outlook na Web e em outros lugares.”

Embora todos os arquivos baixados e recebidos por e-mail incluam uma tag Mark-of-the-Web ( MOTW ) que é usada para determinar sua origem e acionar uma resposta de segurança apropriada, Mitja Kolsek, do 0patch, observou que o aplicativo MSDT não foi projetado para verificar esse sinalizador e portanto, permite que o arquivo .diagcab seja aberto sem aviso.

Os patches e o interesse renovado no bug de zero dia seguem a exploração ativa da vulnerabilidade de execução remota de código “Follina“, aproveitando documentos do Word com malware que abusam do esquema de URI do protocolo “ms-msdt:”.  De acordo com a empresa de segurança corporativa Proofpoint, a falha (CVE-2022-30190, pontuação CVSS: 7,8) está sendo armada por um agente de ameaça rastreado como TA570 para entregar o trojan de roubo de informações QBot (também conhecido como Qakbot).

O QBot também foi empregado por corretores de acesso inicial para obter acesso inicial às redes de destino, permitindo que os afiliados de ransomware abusassem do ponto de apoio para implantar malware de criptografia de arquivos.

O relatório DFIR, no início deste ano (Viia: TheHackerNews), também documentou como as infecções por QBot se movem em ritmo acelerado, permitindo que o malware colete dados do navegador e e-mails do Outlook apenas 30 minutos após o acesso inicial e propague a carga útil para uma estação de trabalho adjacente em torno da marca de 50 minutos.

Via: TheHackerNews