La vulnerabilidad «DogWalk» la descubrió el investigador de seguridad Imre Rad en enero de 2020, hace más de 2 años y tuvo como respuesta por parte de Microsoft que no era un problema de seguridad.
Se debe a una mala gestión de las rutas del sistema, consiste en guardar un archivo ejecutable malicioso en la carpeta de inicio del usuario, donde posteriormente se ejecutaría en el próximo inicio de sesión del usuario. Lo que el usuario tiene que hacer para que esto suceda es, abrir un archivo «*.diagcab» (formato Cabinet CAB) que contiene un archivo de configuración de diagnóstico especialmente manipulado.
Si bien todos los archivos descargados y recibidos por correo electrónico incluyen una etiqueta Mark-of-the-Web (MOTW) que se usa para determinar su origen y desencadenar una respuesta de seguridad adecuada, Mitja Kolsek de 0patch señaló que la aplicación MSDT (Herramienta de diagnóstico de soporte de Microsoft) no está diseñada para verificar esta marca y por lo tanto, permite que el archivo «*.diagcab» se abra sin previo aviso.
Outlook no es el único vehículo de entrega, el archivo puede ser descargado por todos los principales navegadores, incluido Microsoft Edge, simplemente visitando un sitio web, y solo se necesita un solo clic (o un clic incorrecto) en la lista de descargas del navegador para abrir el archivo.
Según Proofpoint, la vulnerabilidad, está siendo activamente explotada por troyanos de robo de información, especialmente malware diseñado para recopilar información bancaria de sus víctimas, tales como Qbot.
Productos afectados:
- Todas las versiones de Windows a partir de Windows 7 y Server 2008.
Recomendaciones:
- Dado que se trata de una vulnerabilidad Zero Day sin una solución oficial disponible del proveedor, el equipo 0patch proporciono micro–parches de forma gratuita hasta que dicha solución esté disponible.
- Mantener la base de datos de virus actualizada de su agente Antivirus/EDR.
Para mayor información:
- https://blog.0patch.com/2022/06/microsoft-diagnostic-tools-dogwalk.html
- https://unaaldia.hispasec.com/2022/06/dogwalk-nueva-vulnerabilidad-0-day-para-windows.html
- https://blog.segu-info.com.ar/2022/06/dogwalk-vulnerabilidad-en-windows.html
- https://thehackernews.com/2022/06/researchers-warn-of-unpatched-dogwalk.html