研究人员警告未修补的“DogWalk”Microsoft Windows漏洞

针对Microsoft Support Diagnostic Tool（MSDT）中的一个新的Windows零日漏洞，已经提供了一个非官方的安全修补程序，尽管Follina漏洞仍在继续被利用。

问题—；引用为狗道— 与路径遍历缺陷有关，当潜在目标打开包含诊断配置文件的特制“.diagcab”存档文件时，可利用该漏洞将恶意可执行文件隐藏到Windows启动文件夹。

其想法是，在受害者下次重新启动后登录到系统时，将执行有效负载。该漏洞影响所有Windows版本，从Windows 7和Server Server 2008到最新版本。

DogWalk最初是由安全研究人员Imre Rad于2020年1月披露的，此前微软已承认该问题，并将其视为非安全问题。

“有许多文件类型可以以这种方式执行代码，但从技术上讲，它们不是‘可执行文件’，”这家科技巨头当时表示。“对于用户来说，在电子邮件中下载/接收其中的许多内容都是不安全的，甚至在Outlook的web和其他地方，默认情况下“.diagcab”也会被阻止。”

虽然通过电子邮件下载和接收的所有文件都包含一个Web标记（MOTW），该标记用于确定其来源并触发适当的安全响应，但0patch的Mitja Kolsek指出，MSDT应用程序并不是为了检查此标志而设计的，因此允许。在没有警告的情况下打开diagcab文件。

“Outlook并不是唯一的交付工具：包括Microsoft Edge在内的所有主要浏览器都可以通过访问（！）轻松下载此类文件一个网站，只需在浏览器的下载列表中点击一次（或误点击）就可以打开它，”Kolsek说。

“与下载和打开能够执行[攻击者]代码的任何其他已知文件相比，此过程中不会显示任何警告。”

这些补丁和对零日bug的重新关注是在利用恶意软件嵌入的Word文档滥用“ms msdt：”协议URI方案，积极利用“Follina”远程代码执行漏洞之后发布的。

根据企业安全公司Proofpoint的说法，该漏洞（CVE-2022-30190，CVSS分数：7.8）正在由一名被追踪为TA570的威胁参与者进行武器化，以传递QBot（又名Qakbot）信息窃取特洛伊木马。

该公司在一系列详细介绍网络钓鱼攻击的推文中表示：“Actor使用带有HTML附件的线程劫持邮件，如果打开这些邮件，就会丢弃一个ZIP存档。”。

存档文件包含一个带有Word文档、快捷方式文件和DLL的IMG。LNK将执行DLL以启动QBot。文档将加载并执行一个HTML文件，其中包含PowerShell滥用CVE-2022-30190用于下载和执行QBot

QBot还被初始访问代理雇用，以获得对目标网络的初始访问权，使勒索软件分支机构能够滥用立足点部署文件加密恶意软件。

今年早些时候的DFIR报告还记录了QBot感染是如何快速传播的，使恶意软件能够在初次访问后仅30分钟内收集浏览器数据和Outlook电子邮件，并在50分钟左右将有效负载传播到相邻的工作站。