Im Microsoft Support Diagnostic Tool (MSDT) steckt offenbar eine weitere Zero-Day-Lücke. Sie wurde bereits im Dezember 2019 entdeckt und an Microsoft gemeldet. Der Softwarekonzern entschloss sich jedoch im Januar 2020, keinen Fix für die Schwachstelle zu entwickeln. Aufgrund der Aufmerksamkeit, die das MSDT wegen einer anderen Zero-Day-Lücke jüngst erfahren hat, hat der Sicherheitsanbieter 0patch nun auch für diese Anfälligkeit einen inoffiziellen Patch entwickelt.
Die als DogWalk bezeichnete neue Zero-Day-Lücke erlaubt es unter Umständen, schädliche Dateien in einem beliebigen Verzeichnis eines ungepatchten Windows-Rechners abzulegen. In einem Proof-of-Concept schleusten die Forscher eine ausführbare Datei in den Autostart-Ordner von Windows ein. Von dem Problem betroffen sind alle Versionen von Windows und Windows Server ab Windows 7 sowie Windows Server 2008.
Der eigentliche Fehler steckt in der Bibliothek sdiageng.dll, die wiederum zum Microsoft Support Diagnostic Tool gehört. Die Bibliothek verarbeitet einen von einem Angreifer gelieferten Verzeichnispfad, der wiederum in einer XML-Datei innerhalb eines Archivs vom Typ „diagcab“ hinterlegt ist. Darüber wiederum ist es möglich, eine auf einem externen WebDav-Laufwerk abgelegte Datei in ein beliebiges lokales Verzeichnis zu kopieren. Ein Opfer muss lediglich dazu verleitet werden, eine Diagcab-Datei zu öffnen.
Das Problem ist, dass der Name der Datei unzureichend geprüft wird. Wird eine Datei mit dem Namen „\..\..\..\..\..\..\..\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\malicious.exe“ per WebDav zum Kopieren angeboten, werden die für Dateinamen unter Windows unzulässigen Zeichen wie „\“ entfernt, sodass letztlich die Datei „malicious.exe“ im Startup-Ordner landet. Von dort wird sie dann automatisch beim nächsten Start von Windows, sobald sich ein Nutzer anmeldet, ausgeführt.
0patch weist zudem darauf hin, dass es möglich ist, den Download einer Datei im Diagcab-Format über WebDav zu erreichen, indem ein Opfer lediglich dazu verleitet wird, auf einen Link zu klicken. Auch gehöre MSDT zu den Windows-Anwendungen, nicht vor dem Öffnen von Dateien aus dem Internet warnt.
„Eine solche Datei wird von allen gängigen Browsern, einschließlich Microsoft Edge, munter heruntergeladen, indem einfach(!) eine Website besucht wird, und es ist nur ein einziger Klick (oder Fehlklick) in der Download-Liste des Browsers erforderlich, um sie zu öffnen. Dabei wird keine Warnung angezeigt, im Gegensatz zu jeder anderen bekannten Datei, die den Code eines Angreifers ausführen kann. Aus Sicht des Angreifers handelt es sich also um eine gut ausnutzbare Schwachstelle, die alle Windows-Versionen bis zurück zu Windows 7 und Server 2008 betrifft“, begründete 0patch die Entwicklung seines inoffiziellen Patches.
Den inoffiziellen Patch bietet das Unternehmen kostenlos an. Allerdings ist eine Registrierung bei 0patch erforderlich.
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.
Absicherung der IT-Infrastruktur erfolgt über die Zero Trust Exchange-Plattform von Zscaler.
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…