Forscher warnen vor ungepatchter „DogWalk“-Sicherheitslücke in Microsoft Windows

  • Ein inoffizielles Sicherheits-Patch wurde für eine neue Windows Zero-Day-Schwachstelle im Microsoft Support Diagnostic Tool (MSDT) zur Verfügung gestellt, obwohl die Follina-Schwachstelle weiterhin in freier Wildbahn ausgenutzt wird.

    Das als DogWalk bezeichnete Problem bezieht sich auf einen Pfadüberwindungsfehler, der ausgenutzt werden kann, um eine bösartige ausführbare Datei im Windows-Startordner zu verstecken, wenn ein potenzielles Ziel eine speziell gestaltete „.diagcab“-Archivdatei öffnet, die eine Diagnosekonfigurationsdatei enthält.

    Die Idee ist, dass die Nutzlast ausgeführt wird, wenn sich das Opfer nach einem Neustart das nächste Mal am System anmeldet. Die Sicherheitslücke betrifft alle Windows-Versionen, angefangen bei Windows 7 und Server Server 2008 bis hin zu den neuesten Versionen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEhlwCTbaGsb9d6zeHzDBQtvDt8j-9OnPgN56cHkjUb01DXcncpI9ZN-KeD6XjwPNK8zpUtgKMOZotF4CWCjFPirlv3hGU4dKCvusE1SPkMDYj45uXYC3-nr5l5M6-sU4e4Xw08NnG5GYCpfbEQi6AeEDDOHMVrFHzgLLYJ49aqOx0hn3vDS0xyi7L4Z9w/s1600/GitLab-ads.png]

    DogWalk wurde ursprünglich von dem Sicherheitsforscher Imre Rad im Januar 2020 aufgedeckt, nachdem Microsoft das Problem zwar eingeräumt, aber nicht als Sicherheitsproblem eingestuft hatte.

    „Es gibt eine Reihe von Dateitypen, die auf diese Weise Code ausführen können, aber technisch gesehen keine ‚ausführbaren Dateien‘ sind“, sagte der Tech-Gigant zu der Zeit. „Und einige von ihnen werden als unsicher angesehen, wenn sie per E-Mail heruntergeladen/empfangen werden; sogar ‚.diagcab‘ wird standardmäßig in Outlook im Web und an anderen Stellen blockiert.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEjwRgjGLI9aF8GGCJ21kc1Qb8R_OxNcdWLs-zRvaLoVcCrG09nD-xcOfE8LIElgnsXnfWznza6qP97ZirQ6SfMXCGN0TFK9XKjmm1Vl68Atu0RGUgpXh9rJ3kygy6lvLlR0bWkN0HolGLD7oh2TXsGE81KbEmYzDcLwQNm8sC0yQCVCw6UvA8jyuVrF/s728-e100/windows.gif]

    Zwar enthalten alle per E-Mail heruntergeladenen und empfangenen Dateien ein Mark-of-the-Web (MOTW)-Tag, mit dem ihre Herkunft bestimmt und eine entsprechende Sicherheitsreaktion ausgelöst wird, doch Mitja Kolsek von 0patch stellte fest, dass die MSDT-Anwendung nicht dafür ausgelegt ist, dieses Kennzeichen zu überprüfen, und daher das Öffnen der .diagcab-Datei ohne Warnung ermöglicht.

    „Outlook ist nicht das einzige Übermittlungsmedium: Eine solche Datei wird von allen gängigen Browsern, einschließlich Microsoft Edge, munter heruntergeladen, indem einfach(!) eine Website besucht wird, und es bedarf nur eines einzigen Klicks (oder Fehlklicks) in der Download-Liste des Browsers, um sie zu öffnen“, so Kolsek.

    „Dabei wird keine Warnung angezeigt, im Gegensatz zum Herunterladen und Öffnen jeder anderen bekannten Datei, die in der Lage ist, den Virus auszuführen. [the] Code des Angreifers auszuführen.“

    Die Patches und das erneute Interesse an dem Zero-Day-Bug folgen auf die aktive Ausnutzung der „Follina“-Schwachstelle zur Remotecodeausführung durch mit Malware versehene Word-Dokumente, die das URI-Schema des „ms-msdt:“-Protokolls missbrauchen.

    [Blocked Image: https://thehackernews.com/new-images/img/b/R29vZ2xl/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ/s1600/crowdsec-728.jpg]

    Nach Angaben der Sicherheitsfirma Proofpoint wird die Schwachstelle (CVE-2022-30190, CVSS-Score: 7.8) von einem Bedrohungsakteur, der als TA570 identifiziert wurde, genutzt, um den Trojaner QBot (auch bekannt als Qakbot) zum Stehlen von Informationen einzusetzen.

    „Der Akteur verwendet als Thread gekaperte Nachrichten mit HTML-Anhängen, die, wenn sie geöffnet werden, ein ZIP-Archiv abwerfen“, so das Unternehmen in einer Reihe von Tweets, in denen die Phishing-Angriffe beschrieben werden.

    „Das Archiv enthält ein IMG mit einem Word-Dokument, einer Verknüpfungsdatei und einer DLL. Die LNK führt die DLL aus, um QBot zu starten. Das Dokument lädt eine HTML-Datei, die PowerShell enthält und CVE-2022-30190 missbraucht, um Qbot herunterzuladen und auszuführen.“

    QBot wurde auch von Erstzugriffs-Brokern eingesetzt, um einen Erstzugang zu Zielnetzwerken zu erlangen, so dass Ransomware-Ableger diese Ausgangsposition zur Bereitstellung von dateiverschlüsselnder Malware missbrauchen konnten.

    Der DFIR-Bericht von Anfang des Jahres dokumentierte auch, wie sich QBot-Infektionen in rasantem Tempo fortbewegen, so dass die Malware bereits 30 Minuten nach dem ersten Zugriff Browserdaten und Outlook-E-Mails abfangen und die Nutzlast nach etwa 50 Minuten auf eine benachbarte Workstation übertragen kann.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com