Microsoft on korjannut viimein kaksi vuotta vanhan Windows-haavoittuvuuden

hacker banking
(Kuva: 123RF)

Windowsista tammikuussa 2020 löytynyt DogWalk-haavoittuvuus ollaan viimein aikeissa korjata, Microsoft vahvistaa.

Etäkoodin avulla aktivoitava haavoittuvuus syntyi Windows Support Diagnostic Toolista (MSDT) löytyneen heikkouden avulla, mutta asia korjataan osana August 2022 Patch Tuesday -päivitystä.

Haavoittuvuus tunnetaan nimellä CVE-2022-34713 ja sen avulla hyökkääjä voi käynnistää minkä tahansa koodin uhrin laitteella. Sen löysi ensimmäisen kerran kaksi vuotta sitten tutkija Imre Rad, mutta tuolloin Microsoft ei pitänyt asiaa turvallisuutta vaarantavana haavoittuvuutena ja ei siten korjannut asiaa. Nyt haavoittuvuuden nosti toistamiseen toinen tutkija, j00sean.

DogWalkin hyödyntäminen Windows 11:ssä

Hyödyntääkseen DogWalkia hyökkääjän täytyy lisätä saastunut ajotiedosto Windows Startupiin. Sen jälkeen järjestelmän uudelleenkäynnistyessä haittaohjelma ladataan ja käynnistetään. Sitä voidaan käyttää matalan tason hyökkäyksiin, mutta ainoastaan silloin, jos uhri itse käynnistää haittaohjelman.

"Sähköpostihyökkäysskenaariossa hyökkääjä pystyy hyödyntämään haavoittuvuutta lähettämällä räätälöidyn tiedoston ja houkuttelemalla uhrin avaamaan se", Microsoft sanoi. "Selainpohjaisessa hyökkäysskenaariossa hyökkääjän täytyy isännöidä verkkosivua, joka sisältää hyökkäystä varten räätälöidyn tiedoston."

DogWalkia voi hyödyntää kaikissa tuetuissa Windows-versioissa, mukaan lukien Windows 11:ssä ja Windows Server 2022:ssa, Microsoft vahvisti.

Tässä kuussa julkaistava Patch Tuesday korjaa CVE-2022-30134:n ja yhteensä 112 muuta haavoittuvuutta, joista 17 on luokiteltu kriittisiksi.

Lähde: BleepingComputer

Joonas Pikkarainen

Joonas Pikkarainen on teknologia- ja pelitoimittaja, jolla on erityisen vahvat juuret juuri pelialan raportoinnista useissa eri kotimaisissa medioissa. Muihin kiinnostuksiin lukeutuvat valokuvaus, videotuotanto ja elokuvat, sekä oikeastaan kaikki muu siltä väliltä ja näiden lisäksi.

Alkuperäisteksti