Follina kusuru vahşi ortamda sömürülmeye devam etse bile, Microsoft Destek Tanılama Aracı’ndaki (MSDT) yeni bir Windows sıfırıncı gün güvenlik açığı için resmi olmayan bir güvenlik düzeltme eki kullanıma sunuldu.
Sorun — şu şekilde atıfta bulunuluyor: Köpek yürüyüşü — potansiyel bir hedef, bir tanılama yapılandırma dosyası içeren özel hazırlanmış bir “.diagcab” arşiv dosyasını açtığında, kötü amaçlı bir yürütülebilir dosyayı Windows Başlangıç klasörüne saklamak için kullanılabilecek bir yol geçiş hatasıyla ilgilidir.
Buradaki fikir, kurbanın yeniden başlatmanın ardından sisteme bir sonraki girişinde yükün yürütülmesidir. Güvenlik açığı, Windows 7 ve Server Server 2008’den en son sürümlere kadar tüm Windows sürümlerini etkiler.
DogWalk aslen ifşa güvenlik araştırmacısı Imre Rad tarafından Ocak 2020’de Microsoft’un sorunu kabul etmesinin ardından bunu bir güvenlik sorunu olarak görmedi.
Teknoloji devi o sırada, “Kodu bu şekilde yürütebilen ancak teknik olarak ‘çalıştırılabilir’ olmayan bir dizi dosya türü var” dedi. “Ve bunların birçoğunun, kullanıcıların e-postada indirmesi/alması için güvenli olmadığı kabul ediliyor, ‘.diagcab’ bile web üzerinde Outlook’ta ve diğer yerlerde varsayılan olarak engelleniyor.”
E-posta yoluyla indirilen ve alınan tüm dosyalar bir Web İşareti (MOTW0patch’ten Mitja Kolsek, MSDT uygulamasının bu bayrağı kontrol etmek için tasarlanmadığını ve bu nedenle .diagcab dosyasının uyarı olmadan açılmasına izin verdiğini kaydetti.
“Outlook tek dağıtım aracı değil: böyle bir dosya Microsoft Edge dahil tüm büyük tarayıcılar tarafından bir web sitesini ziyaret ederek(!) neşeyle indirilir ve tarayıcının indirme listesinde yalnızca tek bir tıklama (veya yanlış tıklama) yeterlidir. açıldı” Kolsek söz konusu.
“Yürütme yeteneğine sahip bilinen diğer herhangi bir dosyayı indirip açmanın aksine, süreçte hiçbir uyarı gösterilmez. [the] saldırganın kodu.”
Yamalar ve yenilenen ilgi sıfır gün hatasında, “ms-msdt:” protokol URI şemasını kötüye kullanan kötü amaçlı yazılım yüklü Word belgelerinden yararlanarak “Follina” uzaktan kod yürütme güvenlik açığından etkin şekilde yararlanılmasını izleyin.
Kurumsal güvenlik firması Proofpoint’e göre, kusur (CVE-2022-30190, CVSS puanı: 7.8), TA570 olarak izlenen bir tehdit aktörü tarafından QBot (aka Qakbot) bilgi çalan truva atını teslim etmek için silahlandırılıyor.
Şirket, “Aktör, açılırsa bir ZIP arşivi bırakan HTML ekleriyle ele geçirilen ileti dizisi kullanıyor” söz konusu kimlik avı saldırılarını detaylandıran bir dizi tweet’te.
“Arşiv, Word belgesi, kısayol dosyası ve DLL içeren bir IMG içerir. LNK, QBot’u başlatmak için DLL’yi yürütür. Belge, Qbot’u indirmek ve yürütmek için kullanılan CVE-2022-30190’ı kötüye kullanan PowerShell’i içeren bir HTML dosyasını yükleyecek ve yürütecektir. “
QBot ayrıca ilk erişim aracıları tarafından hedef ağlara ilk erişim sağlamak için kullanıldı ve fidye yazılımı bağlı kuruluşlarının dosya şifreleyen kötü amaçlı yazılımları dağıtmak için dayanak noktasını kötüye kullanmalarını sağladı.
DFIR Raporu, bu yılın başlarında da belgelenmiş QBot enfeksiyonlarının hızlı bir şekilde nasıl hareket ettiğini, kötü amaçlı yazılımın tarayıcı verilerini ve Outlook e-postalarını ilk erişimden sadece 30 dakika sonra toplamasını ve yükü 50 dakika civarında bitişik bir iş istasyonuna yaymasını sağlıyor.