Una vulnerabilità zero-day di Windows relativa allo Strumento di diagnostica supporto tecnico Microsoft (MSDT) e nota già da due anni come "DogWalk" è stata corretta in via non ufficiale tramite delle patch gratuite rilasciate tramite la piattaforma 0patch. La falla di sicurezza consentirebbe a un malintenzionato di copiare un file eseguibile nella cartella di esecuzione automatica di Windows, a che condizione che sulla macchina bersaglio venga aperto un file .diagcab appositamente realizzato e inviato via e-mail o scaricato sulla rete. Tale file eseguibile, dunque, verrebbe aperto al riavvio successivo di Windows.
For people who wonder if this is related to #Follina. It's another 0day. Context:https://t.co/05KdKz4hk6
— j00sean (@j00sean) June 6, 2022
Come dicevamo in apertura, la prima segnalazione di questa falla è avvenuta nel 2020, a cui però Microsoft non ha dato alcun seguito poiché non la riteneva una problematica di sicurezza. Tuttavia, di recente, anche per via della scoperta di un'altra zero-day relativa a MSDT e nota come "Follina", si è tornato a parlare di DogWalk, a seguito di un tweet del ricercatore di sicurezza noto come j00sean.
Come riportato nel tweet, questa falla determinerebbe la permanenza del file dannoso nella cartella di avvio con il bypass del MOTW. Inoltre, gli strumenti di download dei browser basati su Chromium, come Chrome, Edge e Opera, non segnalerebbero alcun problema di sicurezza, e lo stesso può dirsi per Defender.
Nonostante Microsoft sostenga che non ci sarebbero rischi concreti, in quanto i file .diagcab vengono bloccati in automatico da Outlook, i ricercatori sostengono che il vettore d'attacco sia più che valido. Basti pensare all'uso di altri client di posta elettronica, o il download del file da un sito compromesso. A tal proposito, Windows ignora le proprietà Mark-of-the-Web (MOTW) dei file .diagcab, di conseguenza un file scaricato di questo tipo verrebbe aperto senza nessun avviso di sicurezza, nonostante i MOTW servano a Windows e ai browser a stabilire se un file sia sospetto o meno.
La vulnerabilità interessa diverse versioni di Windows e Windows Server e, al momento, le patch rilasciate riguardano: Windows 11 v21H2, Windows 10 (v1803 to v21H2), Windows 7, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019 e Windows Server 2022.
Non si sa se tale falla sia stata effettivamente utilizzata in casi concreti, tuttavia, secondo i ricercatori, uno possibile utilizzo sarebbe uno scenario abbastanza realistico. Di conseguenza, si consiglia agli amministratori dei sistemi di installare le micropatch rilasciate tramite 0patch il prima possibile.