微软刚刚在传统的“补丁星期二”之际发布了一批 121 个安全补丁,其中 17 个被认为是关键补丁。其中包括 CVE-2022-34713 缺陷,也称为“DogWalk”。它位于 Windows 支持诊断工具 (MSDT) 模块中,允许您远程执行任意代码。由于该漏洞已被黑客积极利用,因此强烈建议安装该补丁。
可以通过扩展名为 .diagcab 的损坏文件来利用该文件,直接通过电子邮件发送或在恶意网站上下载。然而,要执行攻击,用户必须打开有问题的文件。
微软的风向标
这是三个月内第二次MSDT模块中发现了被黑客利用的零日漏洞。但更值得注意的是,微软花了两年半多的时间才修补“DogWalk”。事实上,安全研究人员于 2019 年 12 月报告了这一情况伊姆雷·拉德。但当时微软认为这并不是一个缺陷。
«问题是,要使用这种攻击,攻击者必须创建相当于病毒的东西,说服用户下载病毒,然后执行它。是的,它不是以 .exe 结尾,但现在大多数病毒都是以 .exe 结尾。一些保护措施已经到位,例如要阻止的标准文件扩展名,这就是其中之一。我们一直在寻求改进这些保护措施。但正如所描述的,这不能被视为漏洞。没有绕过安全边界,概念证明不会以任何方式增加权限或执行用户无法执行的任何操作»,微软在 2020 年 1 月解释道。
两年后,出版商终于改变了主意。“我们已经重新评估了该问题(……)并确定该问题符合我们通过安全更新解决该问题的标准”,可以在 2022 年 8 月 4 日(补丁星期二前几天)发送的一封电子邮件中看到 Imre Rad。微软没有具体说明为什么改变主意,但显然发行商认为这是一个糟糕且令人遗憾的决定。无论如何,这就是我们在阅读微软工程师乔纳森·诺曼(Jonathan Norman)的推文时所理解的。
我们终于修复了#DogWalk脆弱地。遗憾的是,这仍然是一个问题太久了。感谢所有对我们大喊大叫要求我们解决问题的人@j00肖恩 @ImreRad
— 乔纳森·诺曼 (@spoofyroot)2022 年 8 月 9 日
微软可能面临比最初想象的更严重的利用场景。专门从事网络安全的 Coalfire 公司副总裁 Andrew Barratt 在接受 The Record 采访时认为,DogWalk 是一种非常适合内部攻击的攻击媒介,而内部攻击本质上更难以检测。
来源 : 记录
