Se ha puesto a disposición un parche de seguridad no oficial para una nueva vulnerabilidad de día cero de Windows en la herramienta de diagnóstico de soporte de Microsoft (MSDT), incluso cuando la falla de Follina continúa siendo explotada en la naturaleza.
El problema, al que se hace referencia como DogWalk , se relaciona con una falla de cruce de ruta que se puede explotar para ocultar un archivo ejecutable malicioso en la carpeta de inicio de Windows cuando un objetivo potencial abre un archivo de almacenamiento «.diagcab» especialmente diseñado que contiene un archivo de configuración de diagnóstico.
La idea es que la carga útil se ejecute la próxima vez que la víctima inicie sesión en el sistema después de un reinicio. La vulnerabilidad afecta a todas las versiones de Windows, desde Windows 7 y Server Server 2008 hasta las últimas versiones.
DogWalk fue revelado originalmente por el investigador de seguridad Imre Rad en enero de 2020 después de que Microsoft, habiendo reconocido el problema, lo considerara no como un problema de seguridad.
«Hay una serie de tipos de archivos que pueden ejecutar código de esa manera, pero técnicamente no son ‘ejecutables'», dijo el gigante tecnológico en ese momento. «Y varios de estos se consideran inseguros para que los usuarios los descarguen o reciban en el correo electrónico, incluso ‘.diagcab’ está bloqueado de forma predeterminada en Outlook en la web y en otros lugares».
Si bien todos los archivos descargados y recibidos por correo electrónico incluyen una etiqueta Mark-of-the-Web ( MOTW ) que se usa para determinar su origen y desencadenar una respuesta de seguridad adecuada, Mitja Kolsek de 0patch señaló que la aplicación MSDT no está diseñada para verificar esta marca y por lo tanto, permite que el archivo .diagcab se abra sin previo aviso.
«Outlook no es el único vehículo de entrega: dicho archivo es descargado alegremente por todos los principales navegadores, incluido Microsoft Edge, simplemente visitando (!) un sitio web, y solo se necesita un solo clic (o un clic incorrecto) en la lista de descargas del navegador para tener se abrió», dijo Kolsek .
«No se muestra ninguna advertencia en el proceso, en contraste con la descarga y apertura de cualquier otro archivo conocido capaz de ejecutar [el] código del atacante».
Los parches y el renovado interés en el error de día cero siguen a la explotación activa de la vulnerabilidad de ejecución remota de código » Follina » al aprovechar documentos de Word con malware que abusan del esquema URI del protocolo «ms-msdt:».
Según la firma de seguridad empresarial Proofpoint, la falla (CVE-2022-30190, puntaje CVSS: 7.8) está siendo armada por un actor de amenazas rastreado como TA570 para entregar el troyano de robo de información QBot (también conocido como Qakbot).
«Actor usa mensajes secuestrados de hilo con archivos adjuntos HTML que, si se abren, arrojan un archivo ZIP», dijo la compañía en una serie de tuits que detallan los ataques de phishing.
«El archivo contiene un IMG con un documento de Word, un archivo de acceso directo y una DLL. El LNK ejecutará la DLL para iniciar QBot. El documento cargará y ejecutará un archivo HTML que contiene PowerShell que abusa de CVE-2022-30190 utilizado para descargar y ejecutar Qbot. «
QBot también ha sido empleado por corredores de acceso inicial para obtener acceso inicial a las redes de destino, lo que permite a los afiliados de ransomware abusar del punto de apoyo para implementar malware de cifrado de archivos.
El Informe DFIR, a principios de este año, también documentó cómo las infecciones de QBot se mueven a un ritmo rápido, lo que permite que el malware recolecte datos del navegador y correos electrónicos de Outlook apenas 30 minutos después del acceso inicial y propague la carga útil a una estación de trabajo adyacente alrededor de la marca de 50 minutos.