DogWalk-Schwachstellenerkennung: Neuer Path Traversal-Fehler in Microsoft Windows
Inhaltsverzeichnis:
Eine weitere Zero-Day-Sicherheitslücke im Microsoft Support Diagnostic Tool (MSDT) mit dem Spitznamen DogWalk folgt dicht auf dem Fuß der aktiv ausgenutzten Gegenstück, einer Remote-Code-Ausführungsanfälligkeit Follina, verfolgt als CVE-2022-30190. Wie im Fall von Follina wurde ein großes Sicherheitsproblem mit MSDT von den Microsoft-Troubleshootern ignoriert, als der Fehler erstmals gemeldet wurde. Zum Zeitpunkt des Schreibens wurde dieser Lücke noch keine CVE zugewiesen.
Ein inoffizieller Patch wurde gerade veröffentlicht, jetzt verfügbar über die 0patch-Plattform.
Erkennen Sie die DogWalk-Sicherheitslücke
Das Team von SOC Prime von engagierten Bedrohungsjägern hat eine Sigma-Regel veröffentlicht, um Ihnen zu helfen, festzustellen, ob Ihr System über das DogWalk-Sicherheitsloch kompromittiert wurde. Die Regel hilft, zu erkennen, ob Angreifer .diagcab-Dateien verwendeten, um zusätzliche Dateien auf das Laufwerk eines Opfersystems mit Benutzer-Ausführung zu bringen:
Mögliche Ausführung durch ‚DogWalk‘-Exploitation mit Verwendung der diagcab-Datei (über file_event)
Die Regeln sind mit dem neuesten MITRE ATT&CK® Framework v.10 abgestimmt und umfassen die Taktik der Ausführung und die Technik der Benutzer-Ausführung (T1204; T1204.002).
Diese Erkennung hat Übersetzungen für die folgenden branchenführenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro und AWS OpenSearch.
Um andere mögliche Systemkompromittierungen zu erkennen, sehen Sie sich die vollständige Liste der Regeln an, die im Threat Detection Marketplace Repository der Plattform von SOC Prime verfügbar sind, indem Sie die Erkennen & Jagen -Taste drücken. Beachten Sie jedoch, dass diese Regeln nur registrierten Benutzern zur Verfügung stehen.
SOC-Profis ohne Konto der Plattform können die Sammlung von Sigma-Regeln über die Cyber Threat Search Engine durchsuchen. Drücken Sie die Explorieren Sie Bedrohungskontext -Taste, um auf einen One-Stop-Shop für kostenlose SOC-Inhalte zuzugreifen, ohne Bedingungen.
Erkennen & Jagen Explorieren Sie Bedrohungskontext
DogWalk-Analyse
Die Microsoft Windows Zero-Day-Sicherheitslücke in MSDT, die als DogWalk bekannt ist, wurde erstmals 2020 von einem unabhängigen Sicherheitsforscher dokumentiert Imre Rad , aber damals von Microsoft ignoriert. Rad teilte die Antwort von Microsoft, in der sie sich weigerten, das Problem als Sicherheitslücke zu betrachten, ergo lehnten es ab, sie zu beheben.
Diese Path-Traversal-Sicherheitslücke wurde Ende Mai – Anfang Juni 2022 von einem Sicherheitsforscher mit dem Spitznamen j00sean.
wurde erneut behandelt. Die Kill-Chain umfasst das Ziel, das durch eine bösartige .diagcab-Archivdatei infiziert wird, indem es diese in einer E-Mail erhält oder der Benutzer sie freiwillig herunterlädt. Die bewaffnete Datei löst keine angemessene Sicherheitsreaktion aus (große Browser markieren sie nicht als verdächtig und potenziell gefährlich). Wenn sie geöffnet wird, wird die Nutzlast im Windows-Startordner abgelegt, die beim nächsten Login durch das Betriebssystem ausgeführt wird.
Geräte mit Windows 7 OS oder höher bleiben anfällig für diesen Exploit.
Um Ihre Fähigkeiten zur Bedrohungserkennung zu verbessern, treten Sie dem Threat Bounty Program bei und erhalten Sie vollen Zugriff auf den einzigen Threat Detection Marketplace, auf dem Forscher ihre Inhalte monetarisieren. Verbessern Sie Ihr Sicherheitsarsenal mit übergreifenden Erkennungsinhalten für mehr als 25 marktführende SIEM-, EDR- und XDR-Technologien.
