背景圖片來源: FLY:D on Unsplash

微軟5月底爆發編號CVE-2022-30190的微軟支援診斷工具(Microsoft Support Diagnostic Tool,MSDT)遠端程式碼執行漏洞(又名Follina),本周又有其他研究人員揭露和MSDT有關的新漏洞,而且也同樣還沒有修補程式。

這項漏洞尚無編號,但被研究人員暱稱為DogWalk。這項漏洞早在2020年1月就有研究人員Imre Rad討論過。在2年多之後,上周代號j00sean的研究人員再度提起這項漏洞,說明是不同於Follina的MSDT漏洞。

Rad指出,它是一項路徑/目錄穿越(Path Traversal)漏洞,允許攻擊者將任何檔案,存在檔案系統任何地方,而且不會被檢查到。DogWalk漏洞開採可利用郵件傳送或連結誘使用戶從網路上下載惡意diagcab檔,這是一個Cabinet(CAB)檔案,包含診斷設定檔,可為實作MSDT的疑難排解工具(Troubleshooter)執行。研究人員提供的一個技巧是將檔案儲存在Windows「啟動」資料夾,等用戶下次登入時執行。

據微軟說法,Outlook及IE會封鎖.diagcab檔下載。研究人員測試,Gmail、微軟的Outlook Live或Mozilla Thunderbird。此外,Google Chrome、Firefox,甚至Microsoft Edge都未能封鎖這類檔案。研究人員還警告,在特定環境如公共Wi-Fi網路下,攻擊者可能利用中間人攻擊(man-in-the-middle),將用戶導向惡意網站。

研究人員2年多前曾向微軟通報,並且展示以共享連結可從WebDAV伺服器下載Diagcab檔案的PoC。不過一如Follina,微軟也認為不是安全問題。微軟的解釋是,有許多檔案類型可藉此執行程式碼,但它並非「可執行檔」,且攻擊發生需要用戶主動執行.diagcab檔,不過Outlook已經能封鎖來自網際網路或其他地方的多種檔案,包括.diagcab。微軟指出會設法強化防護以避免用戶執行程式,但研究人員所提的問題並不是漏洞。

不管是不是一項「漏洞」,安全廠商0Patch創辦人Mitja Kolsek說明,Dogwalk危險之一在於,執行惡意程式的過程完全沒有任何警告顯示。

這個問題影響的Windows 版本包括Windows 7、Server 2008以後的產品,包括最新的Windows 11和Server 2022。

0Patch目前已免費提供針對多種Windows版本的暫時修補程式,用戶必須註冊才能下載


熱門新聞

Advertisement