繼 Follina 之後，又出現另一個微軟 MSDT 零時差漏洞「DogWalk」

就在駭客組織積極利用「Follina」漏洞四處散播 Qbot 資訊竊取木馬程式，並攻擊歐美政府機構的同時，如今又出現同樣濫用 Windows 支援診斷工具（Microsoft Windows Support Diagnostic Tool，MSDT）的新漏洞「DogWalk」。

遲遲未修補的高風險「Follina」漏洞（漏洞編號 CVE-2022-30190）已然成為駭客界當紅 Zero-Day 零時差漏洞，駭客透過內含惡意軟體並濫用微軟 MSDT 協定 URI 架構的 Word 文件，便能進行遠端程式碼執行作業。如今 TA570 駭客組織已透過該漏洞，四處散播 Qbot 竊密木馬程式。

微軟顯然一開始就將該漏洞視為非安全問題，所以直到現在除了分享關閉 MSDT 的步驟之外，而遲遲未發布更新修補程式也就不意外了。所幸資安業者 0patch 發布非官方版的修補程式，稍稍緩解可能的安全風險。

如今運用「Follina」漏洞的惡意攻擊方興未艾，在 MSDT 工具中竟又另外發現名為「DogWalk」的全新 Windows 零時差漏洞。事實上，該漏洞最早是由安全研究人員 Imre Rad 於 2020 年 1 月揭露，但微軟一樣認為它並非什麼安全問題。

基本上，「DogWalk」係屬目錄遍歷（Path Traversal）漏洞，會將封包負載放置於 Windows 啟動目錄夾位置上。這意味著惡意軟體會在使用者下次登錄系統時執行。雖然下載的 .diagcab 檔案會附帶一個 MOTW（Mark-of-the-Web）標籤（用來確定下載檔的來源，並觸發適當的安全回應），但 MSDT 工具會忽略警示並直接開啟下載的 .diagcab 檔案，進而讓使用者陷入潛在漏洞攻擊的風險中。這個新漏洞會影響所有版本的 Windows（從Windows 7 及 Windows Server 2008 到最新 Windows 11 21H2 及 Windows Server 2022 皆受影響）。

針對這個全新的零時差安全漏洞，向以微修補程式（Micropatch）見長的 0patch 又再度伸出援手，釋出適用所有 Windows 版本的非官方版修補程式，其基本上透過阻止 MSDT 檔的執行，來杜絕可能的安全風險。