描述

微软支持诊断工具 (MSDT) 中的一个新的 Windows 零日漏洞已经提供了一个非官方的安全补丁，该问题与路径遍历漏洞有关，当潜在目标打开包含诊断配置文件的特制“.diagcab”存档文件时，可利用该漏洞将恶意可执行文件存储到 Windows 启动文件夹中。漏洞的有效载荷将在受害者下次重启后登录系统时执行。该漏洞影响所有 Windows 版本，从 Windows 7 和 Server Server 2008 到最新版本。

最初是由安全研究人员在 2020 年 1 月披露的，此前微软承认了该问题，并认为它不是安全问题。“有许多文件类型可以以这种方式执行代码，但在技术上不是'可执行文件，这家科技巨头当时表示。其中一些被认为对于用户在电子邮件中下载/接收是不安全的，即使是'.diagcab' 在 Outlook 网页版和其他地方也被默认阻止。

虽然通过电子邮件下载和接收的所有文件都包含一个 Web 标记（mtow） 标签，该标签用于确定其来源并触发适当的安全响应， MSDT 应用程序并非旨在检查此标志和因此允许在没有警告的情况下打开 .diagcab 文件。

包括 Microsoft Edge 在内的所有主要浏览器都可以通过简单地访问（！）一个网站来愉快地下载此类文件，并且只需在浏览器的下载列表中单击（或错误单击）它打开了与下载和打开任何其他能够执行攻击者代码的已知文件相比，该过程中没有显示警告。

通过利用滥用“ms-msdt:”协议 URI 方案的恶意软件 Word 文档,利用远程代码执行漏洞，根据企业安全公司 Proofpoint 的说法，该漏洞（CVE-2022-30190，CVSS 评分：7.8）正在被追踪为TAN570的威胁行为者武器化，信息窃取木马。

使用带有 HTML 附件的线程劫持消息，如果打开这些附件，则会删除一个 ZIP 存档，“存档包含一个带有 Word 文档、快捷方式文件和 DLL 的 IMG。LNK 将执行 DLL 以启动 QBot。该文档将加载并执行一个 HTML 文件，其中包含用于下载和执行 QBot 的滥用 CVE-2022-30190 的 PowerShell。”QBot 还被初始访问代理用来获得对目标网络的初始访问权限，从而使勒索软件附属机构能够滥用部署文件加密恶意软件。

今年早些时候的报告还记录了 QBot 感染如何快速移动，使恶意软件能够在初始访问后仅 30 分钟内收集浏览器数据和 Outlook 电子邮件，并在 50 分钟左右将有效负载传播到相邻的工作站.