网络漏洞
微软支持诊断工具(MSDT)的新Windows零日漏洞提供了非官方的安全补丁,即使Folina漏洞继续在户外使用。
当潜在目标打开包含诊断配置文件的专科时,该问题与路径过渡漏洞有关。 当 diagcab文件保存时,该漏洞可以用于存储Windows启动文件中的恶意执行文件。
这个漏洞影响到所有Windows版本,从Windows 7和Server 2008到最新版本。
DogWalk最初由安全研究者Imre Rad于2020年1月公布,直到微软承认这个问题并认为这不是一个安全问题。
“有许多类型的文件可以这样执行代码,但从技术上来说,这不是‘可执行的文件’。“有人认为这些邮件的下载/接收不安全,即使在Outlook的网页版本和其他地方,默认也防止"Diagcab"."
虽然所有通过电子邮件下载和接收的文件都包含一个Web标记 ( MOTW ) 标签,标签用于识别其来源并触发适当的安全反应,但0patch的MitjaKolsek指出,MSDT应用程序不打算检查这个标记,因此允许未经警告打开Diagcab。
“Outlook并不是唯一的交付工具:所有主要浏览器,包括Microsoft Edge,可以通过浏览网站下载这些文件,它可以通过点击浏览器下载列表(或点击错误)打开。
与下载和打开其他可以执行攻击者的代码的已知文件相比,进程中没有警告。
通过使用恶意软件“ms-msdt:”协议URI程序滥用Word文档,在激活使用Folina远程代码执行漏洞后,对零日漏洞进行补丁和重新聚焦。
据企业安全公司Proofpoint称,脆弱性(CVE-2022-30190,CVSS分数:7.8 被跟踪到TA570的威胁行动者正在被武装,提供QBot(也称为Qakbot)信息以偷取木马。
该公司在一系列关于网络捕鱼攻击的详细引数中说:“行动者利用HTML附件的线程劫持消息,如果打开,就会删除ZIP文件。
“该文件包含一个IMG文件,一个Word文件,一个快捷文件,和一个DLL。LNK将执行DLL启动QBot。文档将装载和执行HTML文件,它包含了下载和执行Qbot滥用CVE-2022-30190的PowerShell。"
QBot也被Initial Access Agent用于获取目标网络的初始访问权限,从而使泄漏软件关联者滥用基点部署文件加密恶意软件。
今年早些时候, DFIR报告也记录了QBot感染如何迅速移动。允许恶意软件在初始访问后仅30分钟内收集浏览器数据和Outlook邮件,在大约50分钟内,有效负荷将转移到邻近的工作站。
END
安全圈
网络热点关注网络安全
实时资讯一手掌握!
如果它看起来不错,你可以分享,如果它有用,就给它一个赞美
支持“安全循环”并设置三个字符串!