Windows MSDT 0-day-Schwachstelle "DogWalk" erhält 0patch-Fix

Windows[English]Neben der Follina-Schwachstelle (CVE-2022-30190) im Windows ms-msdt-Protokoll gibt es in Verbindung mit dem Microsoft Diagnostic Tool (MSDT) noch eine weitere DogWalk-genannte Schwachstelle. Diese Schwachstelle wurde bereits vor zwei Jahren an Microsoft gemeldet, wird aber wohl nicht gepatcht. Das Team von ACROS Security hat die Follina-Geschichte zum Anlass genommen, auch einen Micro-Patch für DogWalk bereitzustellen. Ich habe die Informationen nachfolgend mal aufbereitet.


Anzeige

Ich bin bereits vor Tagen auf nachfolgenden Tweet von Mitja Kolsek gestoßen, der dort auf die DogWalk-Schwachstelle und den von ACROS Security veröffentlichen Micro-Patch hinweist.

Microsoft Diagnostic Tool "DogWalk" Package Path Traversal Gets Free Micropatches

Schwachstelle 2020 entdeckt

Im Januar 2020 veröffentlichte der Sicherheitsforscher Imre Rad einen Artikel mit dem Titel "The trouble with Microsoft's Troubleshooters". Im Artikel beschrieb er eine Methode, mit der eine bösartige ausführbare Datei im Autostart-Ordner des Benutzers gespeichert und bei der nächsten Anmeldung des Benutzers ausgeführt werden kann. Dazu muss der Benutzer eine "diagcab"-Datei öffnen, ein Archiv im Cabinet (CAB)-Dateiformat, das eine Diagnosekonfigurationsdatei enthält.

DogWalk vulnerability in Windows


Anzeige

Der Sicherheitsforscher meldete das Ganze an Microsoft, erhielt aber die Rückmeldung, dass Redmond kein Sicherheitsproblem sieht. Obiger Tweet zeigt einen Ausriss aus der Antwort. Damit war das Thema bei Microsoft aus dem Fokus – und es gab keinen Patch. Auch der Microsoft Defender kennt diese Angriffsmöglichkeit nicht.

(Quelle: ACROS Security/YouTube)

ACROS Security demonstriert in obigem Video diese Angriffsmöglichkeit. Mitja Kolsek hat die Details des Angriffs in seinem Blog-Beitrag Microsoft Diagnostic Tool "DogWalk" Package Path Traversal Gets Free Micropatches (0day/WontFix) ausführlich beschrieben. Bisher ist aber noch kein Angriff über die Schwachstelle bekannt geworden.

0patch bringt Micro-Patch

Da Microsoft keinen Patch für diese Schwachstelle veröffentlichte, hat der Gründer von ACROS Security, Mitja Kolsek, kurzerhand einen Micro-Patch veröffentlicht und stellt diesen über den 0patch-Agenten für folgende Windows-Versionen bereit.

  1. Windows 11 v21H2
  2. Windows 10 v21H2
  3. Windows 10 v21H1
  4. Windows 10 v20H2
  5. Windows 10 v2004
  6. Windows 10 v1909
  7. Windows 10 v1903
  8. Windows 10 v1809
  9. Windows 10 v1803
  10. Windows 7
  11. Windows Server 2008 R2
  12. Windows Server 2012
  13. Windows Server 2012 R2
  14. Windows Server 2016
  15. Windows Server 2019
  16. Windows Server 2022

Der Micro-Patch ist kostenlos, solange kein Fix von Microsoft verfügbar ist. Es wird lediglich der 0patch-Agent in der Free-Version benötigt. Hinweise zur Funktionsweise des 0patch-Agenten, der die Micropatches zur Laufzeit einer Anwendung in den Speicher lädt, finden Sie in den Blog-Posts (wie z.B. hier).

Ähnliche Artikel:
Follina: Angriff über Word-Dokumente und ms-msdt-Protokoll (CVE-2022-30190)
Follina-Schwachstelle (CVE-2022-30190): Status, Erkenntnisse, Warnungen & Angriffe
0Patch Micro-Patch gegen Follina-Schwachstelle (CVE-2022-30190) in Windows
Follina (CVE-2022-30190): Angriffswelle ausgeblieben, aber Kampagnen auf EU/US und andere Ziele
Follina-Schwachstelle (CVE-2022-30190): Neue Erkenntnisse, neue Risiken (9.6.2022)

Windows 7: Mit der 0patch-Lösung absichern – Teil 2
Windows 7/Server 2008/R2: 0patch liefert Sicherheitspatches nach Supportende
Windows 7/Server 2008/R2 Life Extension-Projekt & 0patch Probemonat
0patch: Fix für Internet Explorer 0-day-Schwachstelle CVE-2020-0674
0patch-Fix für Windows Installer-Schwachstelle CVE-2020-0683
0patch-Fix für Windows GDI+-Schwachstelle CVE-2020-0881
0-Day-Schwachstelle in Windows Adobe Type Library
0patch fixt 0-day Adobe Type Library bug in Windows 7
0patch fixt CVE-2020-0687 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1048 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1015 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1281 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1337 in Windows 7/Server 2008 R2
0patch fixt CVE-2020-1530 in Windows 7/Server 2008 R2
0patch fixt Zerologon (CVE-2020-1472) in Windows Server 2008 R2
0patch fixt CVE-2020-1013 in Windows 7/Server 2008 R2
0patch fixt Local Privilege Escalation 0-day in Sysinternals PsExec
0patch fixt Windows Installer 0-day Local Privilege Escalation Schwachstelle
0patch fixt 0-day im Internet Explorer
0patch fixt CVE-2021-26877 im DNS Server von Windows Server 2008 R2
0patch fixt Windows Installer LPE-Bug (CVE-2021-26415)
0Patch bietet Support für Windows 10 Version 1809 nach EOL
Windows 10 V180x: 0Patch fixt IE-Schwachstelle CVE-2021-31959
0Patch Micropatches für PrintNightmare-Schwachstelle (CVE-2021-34527)
0patch-Fix für neue Windows PrintNightmare 0-day-Schwachstelle (5. Aug. 2021)
0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (6. Aug. 2021)
2. 0patch-Fix für Windows PetitPotam 0-day-Schwachstelle (19. Aug. 2021)
Windows 10: 0patch-Fix für MSHTML-Schwachstelle (CVE-2021-40444)
0patch fixt LPE-Schwachstelle (CVE-2021-34484) in Windows User Profile Service
0patch fixt LPE-Schwachstelle (CVE-2021-24084) in Mobile Device Management Service
0patch fixt InstallerTakeOver LPE-Schwachstelle in Windows
0patch fixt ms-officecmd RCE-Schwachstelle in Windows
0patch fixt RemotePotato0-Schwachstelle in Windows
0patch fixt erneut Schwachstelle CVE-2021-34484 in Windows 10/Server 2019
0Patch fixt Schwachstellen (CVE-2022-26809 und CVE-2022-22019) in Windows


Anzeige

Dieser Beitrag wurde unter Sicherheit, Windows abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Windows MSDT 0-day-Schwachstelle "DogWalk" erhält 0patch-Fix

  1. Stefan Kanthak sagt:

    Auch (die Folge) diese(r) Schwachstelle wird durch Aktivierung von SAFER alias Softwarebeschränkungsrichtlinien neutralisiert: siehe https://skanthak.homepage.t-online.de/SAFER.html

    Alternativ: ICACLS.exe "%USERPROFILE%" /DENY *S-1-1-0:(IO)(OI)(X)
    fügt dem eigenen Benutzerprofilverzeichnis den Zugriffslisteneintrag (D;OIIO;WP;;;WD) alias "verbiete Ausführen von Dateien in diesem Verzeichnis und allen Unterverzeichnissen" hinzu; dummerweise haben einige Unterverzeichnisse des Benutzerprofils ACLs, die die Vererbung stoppen.

  2. Marco U. sagt:

    Mit den SoftwareRestriktionPolicies kann man das Ausführen als GPO unterbinden…

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.