I april i år konkluderte Microsoft med at Windows-sårbarheten som kalles for Follina, ikke var et sikkerhetsproblem. I ettertid har sårbarheten blitt utnyttet i en rekke angrep, noe som har fått Microsoft til å skifte mening.
Nå viser det seg at det finnes en annen sårbarhet i Windows som har enkelte fellestrekk med Follina. Den ble første gang omtalt i 2020, men ifølge Bleeping Computer ble sårbarheten den gang ikke ansett som noen sikkerhetsrisiko av Microsoft.
Microsoft Support Diagnostic Tool er fellesnevneren
Ifølge Imre Rad, som opprinnelig oppdaget sårbarheten, begrunnet Microsoft «avslaget» blant annet med at konseptbeviset til Rad ikke omgikk noen sikkerhetsgrenser eller eskalerte privilegier på noen måte. Filtypen som brukes for å utnytte sårbarheten, .diagcab, blir dessuten automatisk blokkert av Outlook. Denne typen filer er for øvrig tilknyttet Microsoft Support Diagnostic Tool i Windows, det samme verktøyet som Follina-sårbarheten er relatert til.
Nå stiller flere sikkerhetsforskere spørsmål ved om ikke Microsoft også i dette tilfellet har undervurdert risikoen, som har fått kallenavnet DogWalk.
This is for sure an underrated 0day on Microsoft Support Diagnostics Tool. To summarize:
1) Persistence by startup folder.
2) MOTW bypass.
3) Not flagged by chromium-based file downloaders (Chrome, Edge or Opera).
4) Defender bypass.
All-in-one. Enjoy!https://t.co/lgTnDSxYGM pic.twitter.com/UyNyEYlH4c
— j00sean (@j00sean) June 2, 2022
Plasseres i oppstartsmappen
Sårbarheten, som skal være av typen «path traversal», gjør det mulig å bruke en spesielt utformet .diagcab-fil til å kopier en kjørbar, ondsinnet fil til Windows Startup-mappen. Derfra vil filen bli kjørt hver gang brukeren starter PC-en på nytt.
Dette krever dog at brukeren forsøker å åpne .diagcab-filen, med eller uten hensikt. Avhengig av metode,krever dette ett til to museklikk.
Som twitterbrukeren j00sean skriver i tvitringen over, er det fint lite som varsler brukeren om at dette kan være en skadelig filtype dersom brukeren forsøker å laste den ned eller åpne den, slik det er med ordinære, kjørbare filer. Det er j00sean som på nytt satte søkelyset på sårbarheten.
I Outlook skal riktignok .diagcab-filer bli blokkert, men Outlook er sjelden det eneste verktøyet en bruker mottar filer i.
En demonstrasjon av et slikt angrep vises i videoen nedenfor, som er utgitt av 0patch-virksomheten til Acros Security.
j00sean har dessuten beskrevet en alternativ framgangsmåte i denne tråden. Der tas det i bruk et Word-dokument (.docx).
Mikropatch er tilgjengelig
0patch har også omtalt sårbarheten i mer detalj og har dessuten kommet med en mikropatch som skal hindre at den ondsinnede filen blir kopiert, ved å se etter tilfeller hvor kode inneholder «..\» i filnavn eller filstier.
Mikropatchen kan komme til nytte dersom DogWalk-sårbarheten blir utnyttet i faktiske angrep og Microsoft ennå ikke har kommet med en sikkerhetsfiks som fjerner sårbarheten.
Microsoft kritiseres for ikke å ta sårbarheter i skyløsningen sin alvorlig nok
