Windows又有新零時差漏洞DogWalk

微軟5月底爆發編號CVE-2022-30190的微軟支援診斷工具（Microsoft Support Diagnostic Tool，MSDT）遠端程式碼執行漏洞（又名Follina），本周又有其他研究人員揭露和MSDT有關的新漏洞，而且也同樣還沒有修補程式。

這項漏洞尚無編號，但被研究人員暱稱為DogWalk。這項漏洞早在2020年1月就有研究人員Imre Rad討論過。在2年多之後，上周代號j00sean的研究人員再度提起這項漏洞，說明是不同於Follina的MSDT漏洞。

Rad指出，它是一項路徑/目錄穿越（Path Traversal）漏洞，允許攻擊者將任何檔案，存在檔案系統任何地方，而且不會被檢查到。DogWalk漏洞開採可利用郵件傳送或連結誘使用戶從網路上下載惡意diagcab檔，這是一個Cabinet（CAB）檔案，包含診斷設定檔，可為實作MSDT的疑難排解工具（Troubleshooter）執行。研究人員提供的一個技巧是將檔案儲存在Windows「啟動」資料夾，等用戶下次登入時執行。

據微軟說法，Outlook及IE會封鎖.diagcab檔下載。研究人員測試，Gmail、微軟的Outlook Live或Mozilla Thunderbird。此外，Google Chrome、Firefox，甚至Microsoft Edge都未能封鎖這類檔案。研究人員還警告，在特定環境如公共Wi-Fi網路下，攻擊者可能利用中間人攻擊（man-in-the-middle），將用戶導向惡意網站。

研究人員2年多前曾向微軟通報，並且展示以共享連結可從WebDAV伺服器下載Diagcab檔案的PoC。不過一如Follina，微軟也認為不是安全問題。微軟的解釋是，有許多檔案類型可藉此執行程式碼，但它並非「可執行檔」，且攻擊發生需要用戶主動執行.diagcab檔，不過Outlook已經能封鎖來自網際網路或其他地方的多種檔案，包括.diagcab。微軟指出會設法強化防護以避免用戶執行程式，但研究人員所提的問題並不是漏洞。

不管是不是一項「漏洞」，安全廠商0Patch創辦人Mitja Kolsek說明，Dogwalk危險之一在於，執行惡意程式的過程完全沒有任何警告顯示。

這個問題影響的Windows 版本包括Windows 7、Server 2008以後的產品，包括最新的Windows 11和Server 2022。

0Patch目前已免費提供針對多種Windows版本的暫時修補程式，用戶必須註冊才能下載。