Peneliti Memperingatkan Kerentanan Microsoft Windows “DogWalk” yang Belum Ditambal

  • Bagikan
Microsoft Windows Vulnerability

Beritaini.top Peneliti Memperingatkan Kerentanan Microsoft Windows “DogWalk” yang Belum Ditambal

Kerentanan Microsoft Windows

Patch keamanan tidak resmi telah tersedia untuk kerentanan zero-day Windows baru di Microsoft Support Diagnostic Tool (MSDT), bahkan saat kelemahan Follina terus dieksploitasi secara liar.

Masalah — dirujuk sebagai AnjingBerjalan — berkaitan dengan cacat traversal jalur yang dapat dieksploitasi untuk menyimpan file berbahaya yang dapat dieksekusi ke folder Startup Windows ketika target potensial membuka file arsip “.diagcab” yang dibuat khusus yang berisi file konfigurasi diagnostik.

Idenya adalah bahwa payload akan dieksekusi saat berikutnya korban masuk ke sistem setelah restart. Kerentanan mempengaruhi semua versi Windows, mulai dari Windows 7 dan Server Server 2008 hingga rilis terbaru.

Keamanan cyber

DogWalk awalnya diungkapkan oleh peneliti keamanan Imre Rad pada Januari 2020 setelah Microsoft, setelah mengakui masalah tersebut, menganggapnya bukan masalah keamanan.

“Ada sejumlah jenis file yang dapat mengeksekusi kode sedemikian rupa tetapi secara teknis tidak ‘dapat dieksekusi’,” kata raksasa teknologi itu saat itu. “Dan beberapa di antaranya dianggap tidak aman bagi pengguna untuk mengunduh/menerima email, bahkan ‘.diagcab’ diblokir secara default di Outlook di web dan tempat lain.”

Peneliti Memperingatkan Kerentanan Microsoft Windows DogWalk yang Belum Ditambal

Sementara semua file yang diunduh dan diterima melalui email menyertakan Mark-of-the-Web (MOTW) yang digunakan untuk menentukan asalnya dan memicu respons keamanan yang sesuai, Mitja Kolsek dari 0patch mencatat bahwa aplikasi MSDT tidak dirancang untuk memeriksa tanda ini dan karenanya memungkinkan file .diagcab dibuka tanpa peringatan.

Outlook bukan satu-satunya sarana pengiriman: file tersebut dengan senang hati diunduh oleh semua browser utama termasuk Microsoft Edge hanya dengan mengunjungi (!) sebuah situs web, dan hanya membutuhkan satu klik (atau salah klik) di daftar unduhan browser untuk memilikinya. itu terbuka,” Kolsek dikatakan.

“Tidak ada peringatan yang ditampilkan dalam proses, berbeda dengan mengunduh dan membuka file lain yang diketahui yang mampu mengeksekusi [the] kode penyerang.”

Tambalan dan minat baru dalam bug zero-day ikuti eksploitasi aktif kerentanan eksekusi kode jarak jauh “Follina” dengan memanfaatkan dokumen Word yang mengandung malware yang menyalahgunakan skema URI protokol “ms-msdt:”.

Keamanan cyber

Menurut firma keamanan perusahaan Proofpoint, cacat (CVE-2022-30190, skor CVSS: 7,8) sedang dipersenjatai oleh aktor ancaman yang dilacak sebagai TA570 untuk mengirimkan trojan pencuri informasi QBot (alias Qakbot).

“Aktor menggunakan pesan yang dibajak dengan lampiran HTML yang, jika dibuka, akan menjatuhkan arsip ZIP,” perusahaan dikatakan dalam serangkaian tweet yang merinci serangan phishing.

“Arsip berisi IMG dengan dokumen Word, file pintasan, dan DLL. LNK akan menjalankan DLL untuk memulai QBot. Dokumen akan memuat dan mengeksekusi file HTML yang berisi PowerShell yang menyalahgunakan CVE-2022-30190 yang digunakan untuk mengunduh dan menjalankan Qbot. “

QBot juga telah digunakan oleh broker akses awal untuk mendapatkan akses awal ke jaringan target, memungkinkan afiliasi ransomware menyalahgunakan pijakan untuk menyebarkan malware enkripsi file.

Laporan DFIR, awal tahun ini, juga didokumentasikan bagaimana infeksi QBot bergerak dengan cepat, memungkinkan malware untuk memanen data browser dan email Outlook hanya dalam waktu 30 menit setelah akses awal dan menyebarkan muatan ke workstation yang berdekatan sekitar tanda 50 menit.

  • Bagikan

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.