Detección de Vulnerabilidad DogWalk: Nueva Falla de Recorrido de Ruta en Microsoft Windows

Otra vulnerabilidad de día cero en la Herramienta de Diagnóstico de Soporte de Microsoft (MSDT) apodada DogWalk sigue de cerca a su contraparte, una vulnerabilidad de ejecución remota de código que se explota activamente Follina, rastreada como CVE-2022-30190. Al igual que en el caso de Follina, un gran problema de seguridad que afecta a MSDT, los técnicos de Microsoft ignoraron el error cuando se les informó por primera vez. En el momento de escribir esto, aún no hay un CVE asignado a esta falla.

Se acaba de lanzar un parche no oficial, ahora disponible a través de la plataforma 0patch.

Detectar la Vulnerabilidad DogWalk

El equipo de ingenieros de caza de amenazas dedicados de SOC Prime lanzó una regla Sigma para ayudarte a identificar si tu sistema fue comprometido a través del agujero de seguridad DogWalk. La regla ayuda a detectar si los atacantes utilizaron archivos .diagcab para dejar archivos adicionales en el disco del sistema víctima con ejecución de usuario:

Posible Ejecución por Explotación ‘DogWalk’ con Uso de Archivo diagcab (a través de file_event)

Las reglas están alineadas con el último marco MITRE ATT&CK® v.10. abordando la táctica de Ejecución y la técnica de Ejecución de Usuario (T1204; T1204.002).

Esta detección tiene traducciones para las siguientes plataformas líderes de la industria SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, y AWS OpenSearch.

Para detectar otros posibles compromisos del sistema, consulta la lista completa de reglas disponibles en el repositorio del Mercado de Detección de Amenazas de la plataforma de SOC Prime presionando el botón Detectar y Cazar . Nota, sin embargo, que estas reglas están disponibles solo para usuarios registrados.

Los profesionales de SOC sin cuenta en la Plataforma pueden explorar la colección de reglas Sigma disponibles a través del Motor de Búsqueda de Amenazas Cibernéticas. Presiona el botón Explorar Contexto de Amenazas para acceder a una tienda integral de contenido SOC gratuito, sin compromisos.

Detectar y Cazar Explorar Contexto de Amenazas

Análisis de DogWalk

La vulnerabilidad de día cero en Microsoft Windows en MSDT llamada DogWalk fue documentada por primera vez en 2020 por un investigador de seguridad independiente Imre Rad pero fue ignorada por Microsoft en ese momento. Rad compartió la respuesta de Microsoft, donde se negaron a considerar el problema como una vulnerabilidad, por lo tanto, negándose a solucionarlo.

Esta falla de recorrido de ruta fue retomada a finales de mayo y principios de junio de 2022 por un investigador de seguridad conocido por el apodo j00sean.

La cadena de eliminación incluye que el objetivo se infecte con un archivo de archivo malicioso .diagcab al recibirlo en un correo electrónico o el usuario lo descargue voluntariamente. El archivo armado no desencadena una respuesta de seguridad adecuada (los navegadores principales no lo marcan como sospechoso y potencialmente peligroso). Cuando se abre, deja caer la carga útil en la carpeta de Inicio de Windows, ejecutada por el SO en el próximo inicio de sesión.

Los dispositivos que ejecutan el sistema operativo Windows 7 o superior permanecen vulnerables a este exploit.

Para impulsar tus capacidades de caza de amenazas, únete al Programa de Recompensas de Amenazas y obtén acceso completo al único Mercado de Detección de Amenazas donde los investigadores monetizan su contenido. Mejora tu arsenal de seguridad con elementos de contenido de detección cruzados entre proveedores y herramientas, adaptados a tecnologías líderes del mercado de SIEM, EDR y XDR.