Microsoft confirma que se ha explotado la vulnerabilidad de día cero ‘DogWalk’

Microsoft ha publicado una solución para una vulnerabilidad de día cero descubierta en 2019 que originalmente no consideró una vulnerabilidad.

El gigante tecnológico parchó CVE-2022-34713, conocido informalmente como ” DogWalk “, el martes, señalando en su aviso que ya ha sido explotado.

Según Microsoft, la explotación de la vulnerabilidad requiere que un usuario abra un archivo especialmente diseñado entregado a través de un correo electrónico de phishing o un ataque basado en la web.

“En un escenario de ataque basado en la web, un atacante podría alojar un sitio web (o aprovechar un sitio web comprometido que acepta o aloja contenido proporcionado por el usuario) que contiene un archivo especialmente diseñado para explotar la vulnerabilidad”, explicó Microsoft. “Un atacante no tendría forma de obligar a los usuarios a visitar el sitio web. En su lugar, un atacante tendría que convencer a los usuarios para que hicieran clic en un enlace, generalmente a través de un incentivo en un correo electrónico o mensaje instantáneo, y luego convencerlos de que abran el archivo especialmente diseñado”.

Más adelante en el aviso, Microsoft dijo que el tipo de exploit necesario se llama “Ejecución de código arbitrario” o ACE, y señaló que el atacante necesitaría convencer a una víctima a través de la ingeniería social para descargar y abrir un archivo especialmente diseñado desde un sitio web que conduce a un ataque local en su computadora. 

Una espera de tres años

El investigador de seguridad Imre Rad informó originalmente a Microsoft sobre la vulnerabilidad  el 22 de diciembre de 2019. Aunque se abrió un caso un día después, Rad dijo en una publicación de blog que Microsoft finalmente se negó a solucionar el problema seis meses después. 

Microsoft inicialmente le dijo a Rad que para hacer uso del ataque que describió, un atacante necesitaría “crear lo que equivale a un virus, convencer a un usuario para que descargue el virus y luego ejecutarlo”. La compañía agregó que “tal como está escrito, esto no se consideraría una vulnerabilidad”. 

“No se eluden los límites de seguridad, el PoC no aumenta los permisos de ninguna manera, ni hace nada que el usuario no pueda hacer ya”, dijo Microsoft a Rad. 

Pero en junio, mientras los investigadores de seguridad investigaban la vulnerabilidad “Follina” , el experto en seguridad cibernética j00sean recurrió a Twitter para resurgir el problema y destacarlo nuevamente.  

Rad señaló que el 4 de agosto, Microsoft lo contactó y dijo que “reevaluaron el problema” y “determinaron que este problema cumple con nuestros criterios para el servicio con una actualización de seguridad” y lo etiquetaron como CVE-2022–34713.

Microsoft dijo en su aviso que, al igual que Follina, esta es otra vulnerabilidad centrada en la Herramienta de diagnóstico de soporte de Microsoft (MSDT)

“La discusión pública de una vulnerabilidad puede alentar un mayor escrutinio del componente, tanto por parte del personal de seguridad de Microsoft como de nuestros socios de investigación. Este CVE es una variante de la vulnerabilidad conocida públicamente como Dogwalk”, dijo Microsoft esta semana. 

Microsoft reconoció pero no respondió a las solicitudes de comentarios sobre por qué su evaluación del problema cambió después de tres años, pero el líder de ingeniería e investigación de seguridad de Microsoft, Johnathan Norman, recurrió a Twitter para agradecer a Rad y j00sean por resaltar el problema.

“Finalmente arreglamos la vulnerabilidad #DogWalk. Lamentablemente, esto siguió siendo un problema durante demasiado tiempo. gracias a todos los que nos gritaron que lo arreglemos”, dijo. 

El vicepresidente de Coalfire, Andrew Barratt, dijo que aún no ha visto la vulnerabilidad explotada en la naturaleza, pero dijo que “se entregaría fácilmente mediante una campaña de phishing/enlaces no autorizados”.

Cuando se explota, la vulnerabilidad coloca algún malware que se inicia automáticamente la próxima vez que el usuario reinicia o inicia sesión en su PC con Windows, explicó Barratt, y señaló que si bien no es una vulnerabilidad trivial de apuntar y hacer clic y requiere un archivo adjunto para ser utilizado en un correo electrónico, se puede entregar a través de otros servidores de archivos, lo que lo convierte en una táctica interesante para que una persona interna la aproveche.

“La gran mayoría de estos archivos adjuntos están bloqueados por Outlook, pero varios investigadores señalan que otros clientes de correo electrónico podrían ver el archivo adjunto y ejecutar la herramienta de solución de problemas de Windows (que aprovecha como parte del exploit)”, dijo Barratt. “El desafío para una gran cantidad de antimalware es que el archivo aprovechado no parece una pieza tradicional de malware, sino que podría aprovecharse para atraer malware más sofisticado a un sistema de destino. Es una técnica interesante pero no una que vaya a afectar a las masas. Espero que esto sea aprovechado más por alguien que cumpla con el perfil de una amenaza interna”.

Bharat Jogi, director de investigación de vulnerabilidades y amenazas en Qualys, agregó que Microsoft probablemente cambió su tono en relación con CVE-2022–34713 porque los malos actores de hoy en día se están volviendo más sofisticados y creativos en sus hazañas.

Jogi señaló que Follina ha sido utilizada recientemente por actores de amenazas, como APT TA413 vinculado a China, en campañas de phishing que se han dirigido al personal del gobierno local de EE. UU. y Europa, así como a un importante proveedor de telecomunicaciones australiano.

Fuente: https://therecord.media/microsoft-confirms-dogwalk-zero-day-vulnerability-has-been-exploited