Un correctif de sécurité non officiel a été mis à disposition pour une nouvelle vulnérabilité Windows zero-day dans Microsoft Support Diagnostic Tool (MSDT), alors même que la faille Follina continue d’être exploitée à l’état sauvage. Le problème – référencé sous le nom de DogWalk – concerne une faille de traversée de chemin qui peut être exploitée pour stocker un fichier exécutable malveillant dans le dossier de démarrage de Windows lorsqu’une cible potentielle ouvre un fichier d’archive « .diagcab » spécialement conçu qui contient un fichier de configuration de diagnostic. L’idée est que la charge utile serait exécutée la prochaine fois que la victime se connecterait au système après un redémarrage. La vulnérabilité affecte toutes les versions de Windows, à partir de Windows 7 et Server Server 2008 jusqu’aux dernières versions. DogWalk a été initialement divulgué par le chercheur en sécurité Imre Rad en janvier 2020 après que Microsoft, après avoir reconnu le problème, l’a considéré comme n’étant pas un problème de sécurité. « Il existe un certain nombre de types de fichiers qui peuvent exécuter du code de cette manière mais qui ne sont techniquement pas des » exécutables « », a déclaré le géant de la technologie à l’époque. « Et un certain nombre d’entre eux sont considérés comme dangereux pour les utilisateurs à télécharger/recevoir par e-mail, même ‘.diagcab’ est bloqué par défaut dans Outlook sur le Web et ailleurs. »
Alors que tous les fichiers téléchargés et reçus par e-mail incluent une balise Mark-of-the-Web (MOTW) qui est utilisée pour déterminer leur origine et déclencher une réponse de sécurité appropriée, Mitja Kolsek de 0patch a noté que l’application MSDT n’est pas conçue pour vérifier ce drapeau et permet donc d’ouvrir le fichier .diagcab sans avertissement. « Outlook n’est pas le seul véhicule de livraison : ce fichier est joyeusement téléchargé par tous les principaux navigateurs, y compris Microsoft Edge, en visitant simplement (!) Un site Web, et il suffit d’un seul clic (ou d’un mauvais clic) dans la liste de téléchargement du navigateur pour avoir il s’est ouvert », a déclaré Kolsek. « Aucun avertissement n’est affiché dans le processus, contrairement au téléchargement et à l’ouverture de tout autre fichier connu capable d’exécuter [le] code de l’attaquant. »
Les correctifs et le regain d’intérêt pour le bogue du jour zéro font suite à l’exploitation active de la vulnérabilité d’exécution de code à distance « Follina » en exploitant des documents Word contenant des logiciels malveillants qui abusent du schéma d’URI du protocole « ms-msdt : ». Selon la société de sécurité d’entreprise Proofpoint, la faille (CVE-2022-30190, score CVSS : 7,8) est militarisée par un acteur malveillant suivi sous le nom de TA570 pour livrer le cheval de Troie voleur d’informations QBot (alias Qakbot). « L’acteur utilise des messages détournés de fil avec des pièces jointes HTML qui, si elles sont ouvertes, déposent une archive ZIP », a déclaré la société dans une série de tweets détaillant les attaques de phishing. « L’archive contient un IMG avec un document Word, un fichier de raccourci et une DLL. Le LNK exécutera la DLL pour démarrer QBot. Le document chargera et exécutera un fichier HTML contenant PowerShell abusant de CVE-2022-30190 utilisé pour télécharger et exécuter Qbot. » QBot a également été utilisé par des courtiers d’accès initiaux pour obtenir un accès initial aux réseaux cibles, permettant aux affiliés de ransomwares d’abuser de la prise de pied pour déployer des logiciels malveillants de cryptage de fichiers. Le rapport DFIR, plus tôt cette année, a également documenté la façon dont les infections QBot se déplacent à un rythme rapide, permettant au logiciel malveillant de récolter les données du navigateur et les e-mails Outlook à peine 30 minutes après l’accès initial et de propager la charge utile à un poste de travail adjacent autour de la marque de 50 minutes. .