Für eine neue Windows Zero-Day-Schwachstelle im Microsoft Support Diagnostic Tool (MSDT) wurde ein inoffizieller Sicherheitspatch zur Verfügung gestellt, obwohl die Follina-Schwachstelle weiterhin in freier Wildbahn ausgenutzt wird.
Die als DogWalk bezeichnete Schwachstelle bezieht sich auf einen Pfadüberwindungsfehler, der ausgenutzt werden kann, um eine bösartige ausführbare Datei im Windows-Startordner zu verstecken, wenn ein potenzielles Ziel eine speziell gestaltete „.diagcab“-Archivdatei öffnet, die eine Diagnosekonfigurationsdatei enthält.
Die Idee ist, dass die Nutzlast ausgeführt wird, wenn sich das Opfer nach einem Neustart das nächste Mal am System anmeldet. Die Schwachstelle betrifft alle Windows-Versionen, angefangen bei Windows 7 und Server Server 2008 bis hin zu den neuesten Versionen.
DogWalk wurde ursprünglich von dem Sicherheitsforscher Imre Rad im Januar 2020 aufgedeckt, nachdem Microsoft das Problem zwar eingeräumt, aber nicht als Sicherheitslücke eingestuft hatte.
„Es gibt eine Reihe von Dateitypen, die auf diese Weise Code ausführen können, aber technisch gesehen keine ‚ausführbaren Dateien‘ sind“, sagte der Tech-Riese damals. „Und einige davon gelten als unsicher, wenn sie per E-Mail heruntergeladen oder empfangen werden. Sogar ‚.diagcab‘ ist standardmäßig in Outlook im Web und an anderen Stellen blockiert.
Alle Dateien, die per E-Mail heruntergeladen und empfangen werden, enthalten ein Mark-of-the-Web (MOTW)-Tag, das dazu dient, ihre Herkunft zu bestimmen und eine entsprechende Sicherheitsreaktion auszulösen. Mitja Kolsek von 0patch stellte jedoch fest, dass die MSDT-Anwendung nicht dafür ausgelegt ist, dieses Kennzeichen zu überprüfen, so dass die .diagcab-Datei ohne Warnung geöffnet werden kann.
„Outlook ist nicht das einzige Übertragungsmedium: Diese Datei wird von allen gängigen Browsern, einschließlich Microsoft Edge, munter heruntergeladen, indem man einfach(!) eine Website besucht, und es braucht nur einen einzigen Klick (oder Fehlklick) in der Downloadliste des Browsers, um sie zu öffnen“, so Kolsek.
„Dabei wird keine Warnung angezeigt, im Gegensatz zum Herunterladen und Öffnen jeder anderen bekannten Datei, die den Code des Angreifers ausführen kann.
Die Patches und das erneute Interesse an dem Zero-Day-Bug folgen auf die aktive Ausnutzung der „Follina“-Schwachstelle zur Remotecodeausführung durch mit Malware versehene Word-Dokumente, die das „ms-msdt:“-Protokoll-URI-Schema missbrauchen.
Nach Angaben des Sicherheitsunternehmens Proofpoint wird die Schwachstelle (CVE-2022-30190, CVSS-Score: 7.8) von einem Bedrohungsakteur namens TA570 ausgenutzt, um den Trojaner QBot (auch bekannt als Qakbot) zu verbreiten, der Informationen stiehlt.
„Der Akteur verwendet Thread-Hijacking-Nachrichten mit HTML-Anhängen, die beim Öffnen ein ZIP-Archiv öffnen“, so das Unternehmen in einer Reihe von Tweets, die die Phishing-Angriffe beschreiben.
„Das Archiv enthält ein IMG mit einem Word-Dokument, einer Verknüpfungsdatei und einer DLL. Die LNK wird die DLL ausführen, um QBot zu starten. Das Dokument lädt eine HTML-Datei, die PowerShell enthält und CVE-2022-30190 missbraucht, um QBot herunterzuladen und auszuführen.
QBot wurde auch von Initial Access Brokern eingesetzt, um sich Zugang zu den Zielnetzwerken zu verschaffen, so dass Ransomware-Ableger diesen Zugang zur Verbreitung von dateiverschlüsselnder Malware nutzen können.
Der DFIR-Bericht hat Anfang des Jahres auch dokumentiert, wie schnell sich QBot-Infektionen ausbreiten. So kann die Malware bereits 30 Minuten nach dem ersten Zugriff Browserdaten und Outlook-E-Mails abfangen und die Nutzlast nach etwa 50 Minuten auf einen benachbarten Arbeitsplatz übertragen.