Un correctif de sécurité non officiel a été mis à disposition pour une nouvelle vulnérabilité Windows de type « zero-day » dans l’outil de diagnostic Microsoft Support (MSDT), alors que la faille Follina continue d’être exploitée dans la nature.
Le problème – référencé sous le nom de DogWalk – concerne une faille de traversée de chemin qui peut être exploitée pour cacher un fichier exécutable malveillant dans le dossier de démarrage de Windows lorsqu’une cible potentielle ouvre un fichier d’archive « .diagcab » spécialement conçu qui contient un fichier de configuration de diagnostic.
L’idée est que la charge utile soit exécutée lors de la prochaine connexion de la victime au système après un redémarrage. La vulnérabilité affecte toutes les versions de Windows, depuis Windows 7 et Server Server 2008 jusqu’aux dernières versions.
DogWalk a été initialement divulgué par le chercheur en sécurité Imre Rad en janvier 2020 après que Microsoft, ayant reconnu le problème, ait jugé qu’il ne s’agissait pas d’un problème de sécurité.
« Il existe un certain nombre de types de fichiers qui peuvent exécuter du code de cette manière, mais qui ne sont pas techniquement des ‘exécutables‘ », avait alors déclaré le géant technologique. « Et un certain nombre d’entre eux sont considérés comme dangereux pour les utilisateurs qui les téléchargent/reçoivent par e-mail, même ‘.diagcab’ est bloqué par défaut dans Outlook sur le web et à d’autres endroits.«
Alors que tous les fichiers téléchargés et reçus par courrier électronique comportent une balise Mark-of-the-Web (MOTW) qui est utilisée pour déterminer leur origine et déclencher une réponse de sécurité appropriée, Mitja Kolsek de 0patch a noté que l’application MSDT n’est pas conçue pour vérifier cette balise et permet donc au fichier .diagcab d’être ouvert sans avertissement.
« Outlook n’est pas le seul véhicule de livraison : ce fichier est allègrement téléchargé par tous les principaux navigateurs, y compris Microsoft Edge, en visitant simplement ( !) un site Web, et il suffit d’un seul clic (ou d’un mauvais clic) dans la liste des téléchargements du navigateur pour qu’il soit ouvert« , a déclaré Kolsek.
« Aucun avertissement n’est affiché au cours du processus, contrairement au téléchargement et à l’ouverture de tout autre fichier connu capable d’exécuter le code de [l’]attaquant.«
Les correctifs et le regain d’intérêt pour ce bug de type « zero-day » font suite à l’exploitation active de la vulnérabilité d’exécution de code à distance « Follina » par le biais de documents Word contenant des logiciels malveillants qui abusent du schéma URI du protocole « ms-msdt : ».
Selon la société de sécurité d’entreprise Proofpoint, la faille (CVE-2022-30190, score CVSS : 7,8) est exploitée par un acteur de la menace, repéré sous le nom de TA570, pour diffuser le cheval de Troie QBot (alias Qakbot) de vol d’informations.
« L’acteur utilise des messages détournés avec des pièces jointes HTML qui, si elles sont ouvertes, déposent une archive ZIP« , a déclaré la société dans une série de tweets détaillant les attaques de phishing.
« L’archive contient un IMG avec un document Word, un fichier de raccourci et une DLL. Le LNK exécutera la DLL pour démarrer QBot. Le doc chargera et exécutera un fichier HTML contenant PowerShell abusant de CVE-2022-30190 utilisé pour télécharger et exécuter QBot. »
QBot a également été employé par des courtiers d’accès initial pour obtenir un accès initial aux réseaux cibles, permettant aux affiliés de ransomware d’abuser de cette prise de pied pour déployer des logiciels malveillants de chiffrement de fichiers.
Le rapport DFIR, publié plus tôt cette année, a également montré que les infections par QBot se déplacent rapidement, permettant au malware de récolter les données du navigateur et les e-mails Outlook 30 minutes seulement après l’accès initial et de propager la charge utile à un poste de travail adjacent après 50 minutes environ.