Se ha puesto a disposición un parche de seguridad no oficial para una nueva vulnerabilidad de día cero de Windows en la Herramienta de Diagnóstico de Soporte de Microsoft (MSDT). El problema -denominado DogWalk- está relacionado con un fallo de cruce de rutas que puede aprovecharse para esconder un archivo ejecutable malicioso en la carpeta de inicio de Windows cuando un objetivo potencial abre un archivo ".diagcab" especialmente diseñado que contiene un archivo de configuración de diagnósticos. |
Se ha puesto a disposición un parche de seguridad no oficial para una nueva vulnerabilidad de día cero de Windows en la Herramienta de Diagnóstico de Soporte de Microsoft (MSDT).
El problema -denominado DogWalk- está relacionado con un fallo de cruce de rutas que puede aprovecharse para esconder un archivo ejecutable malicioso en la carpeta de inicio de Windows cuando un objetivo potencial abre un archivo ".diagcab" especialmente diseñado que contiene un archivo de configuración de diagnósticos.
La idea es que la carga útil se ejecute la próxima vez que la víctima inicie sesión en el sistema después de un reinicio. La vulnerabilidad afecta a todas las versiones de Windows, desde Windows 7 y Server Server 2008 hasta las últimas versiones.
DogWalk fue revelado originalmente por el investigador de seguridad Imre Rad en enero de 2020, después de que Microsoft, habiendo reconocido el problema, no lo considerara como un problema de seguridad.
"Hay una serie de tipos de archivos que pueden ejecutar código de esa manera pero que no son técnicamente 'ejecutables'", dijo el gigante tecnológico en ese momento. "Y varios de ellos se consideran inseguros para que los usuarios los descarguen/reciban en el correo electrónico, incluso '.diagcab' está bloqueado por defecto en Outlook en la web y en otros lugares".
Mientras que todos los archivos descargados y recibidos por correo electrónico incluyen una etiqueta Mark-of-the-Web (MOTW) que se utiliza para determinar su origen y desencadenar una respuesta de seguridad adecuada, Mitja Kolsek de 0patch señaló que la aplicación MSDT no está diseñada para comprobar esta bandera y, por lo tanto, permite que el archivo .diagcab se abra sin advertencia.
"No se muestra ninguna advertencia en el proceso, en contraste con la descarga y apertura de cualquier otro archivo conocido capaz de ejecutar el código de [el] atacante".
Los parches y el renovado interés por el fallo de día cero se producen tras la explotación activa de la vulnerabilidad de ejecución remota de código "Follina" mediante el aprovechamiento de documentos de Word cargados de malware que abusan del esquema URI del protocolo "ms-msdt:".
Según la empresa de seguridad Proofpoint, el fallo (CVE-2022-30190, puntuación CVSS: 7,8) está siendo utilizado por los atacantes identificados como TA570 para distribuir el troyano QBot (también conocido como Qakbot) para robar información.
"El atacante utiliza mensajes secuestrados con archivos adjuntos HTML que, si se abren, dejan caer un archivo ZIP", dijo la compañía en una serie de tweets detallando los ataques de phishing.
"El archivo contiene una IMG con un documento de Word, un archivo de acceso directo y una DLL. El LNK ejecutará la DLL para iniciar QBot. El doc cargará y ejecutará un archivo HTML que contiene PowerShell abusando de CVE-2022-30190 utilizado para descargar y ejecutar QBot".
QBot también ha sido empleado por intermediarios de acceso inicial para obtener un acceso previo a las redes objetivo, lo que permite a los afiliados al ransomware abusar del punto de apoyo para desplegar malware de cifrado de archivos.
El Informe DFIR, de principios de este año, también documentó cómo las infecciones con QBot se mueven a un ritmo rápido, permitiendo que el malware recoja datos del navegador y correos electrónicos de Outlook en apenas 30 minutos después del acceso inicial y propague la carga útil a una estación de trabajo adyacente alrededor de la marca de 50 minutos.
Fuente: https://thehackernews.com/2022/06/researchers-warn-of-unpatched-dogwalk.html