Windows又有新零时差漏洞DogWalk

微软5月底爆发编号CVE-2022-30190的微软支持诊断工具（Microsoft Support Diagnostic Tool，MSDT）远程代码执行漏洞（又名Follina），本周又有其他研究人员揭露和MSDT有关的新漏洞，而且也同样还没有修补程序。

这项漏洞尚无编号，但被研究人员昵称为DogWalk。这项漏洞早在2020年1月就有研究人员Imre Rad讨论过。在2年多之后，上周代号j00sean的研究人员再度提起这项漏洞，说明是不同于Follina的MSDT漏洞。

Rad指出，它是一项路径/目录穿越（Path Traversal）漏洞，允许攻击者将任何档案，存在档案系统任何地方，而且不会被检查到。 DogWalk漏洞开采可利用邮件传送或链接诱使用户从网络上下载恶意diagcab文件，这是一个Cabinet（CAB）档案，包含诊断设定文件，可为实作MSDT的疑难排解工具（Troubleshooter）执行。研究人员提供的一个技巧是将档案储存在Windows「启动」文件夹，等用户下次登录时执行。

据微软说法，Outlook及IE会封锁.diagcab档下载。研究人员测试，Gmail、微软的Outlook Live或Mozilla Thunderbird。此外，谷歌 Chrome、Firefox，甚至Microsoft Edge都未能封锁这类档案。研究人员还警告，在特定环境如公共Wi-Fi网络下，攻击者可能利用中间人攻击（man-in-the-middle），将用户导向恶意网站。

研究人员2年多前曾向微软通报，并且展示以共享链接可从WebDAV服务器下载Diagcab档案的PoC。不过一如Follina，微软也认为不是安全问题。微软的解释是，有许多文件类型可藉此执行代码，但它并非「可执行文件」，且攻击发生需要用户主动执行.diagcab文件，不过Outlook已经能封锁来自互联网或其他地方的多种档案，包括.diagcab。微软指出会设法强化防护以避免用户执行程序，但研究人员所提的问题并不是漏洞。

不管是不是一项漏洞，安全厂商0Patch创始人Mitja Kolsek说明，Dogwalk危险之一在于，执行恶意程序的过程完全没有任何警告显示。

这个问题影响的Windows 版本包括Windows 7、Server 2008以后的产品，包括最新的Windows 11和Server 2022。

0Patch目前已免费提供针对多种Windows版本的暂时修补程序，用户必须注册才能下载。