Détection de la Vulnérabilité DogWalk : Nouvelle Failles de Traversée de Chemin dans Microsoft Windows
Table des matières :
Une autre faille de sécurité de type zero-day dans l’outil de diagnostic de support Microsoft (MSDT) surnommée DogWalk survient peu après son homologue exploité activement, une vulnérabilité d’exécution de code à distance Follina, suivie sous CVE-2022-30190. Tout comme dans le cas de Follina, un gros problème de sécurité affectant le MSDT, les dépanneurs de Microsoft ont ignoré le bug lorsqu’il a été porté à leur attention pour la première fois. Au moment de la rédaction, aucun CVE n’est encore attribué à cette faille.
Un correctif non officiel vient d’être publié, désormais disponible via la plateforme 0patch.
Détecter la vulnérabilité DogWalk
L’équipe d’ingénieurs en chasse aux menaces de SOC Prime a publié une règle Sigma pour vous aider à identifier si votre système a été compromis via la faille de sécurité DogWalk. La règle aide à détecter si des attaquants ont utilisé des fichiers .diagcab pour déposer des fichiers supplémentaires sur le disque d’un système victime avec exécution par l’utilisateur :
Exécution Possible par Exploitation ‘DogWalk’ avec Utilisation du Fichier diagcab (via file_event)
Les règles sont alignées avec le dernier cadre MITRE ATT&CK® v.10. abordant la tactique d’Exécution et la technique d’Exécution par l’Utilisateur (T1204; T1204.002).
Cette détection a des traductions pour les plateformes SIEM, EDR & XDR leaders du secteur suivantes : Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, et AWS OpenSearch.
Pour détecter d’autres compromissions possibles du système, consultez la liste complète des règles disponibles dans le référentiel Threat Detection Marketplace de la plateforme SOC Prime en appuyant sur le bouton Détecter & Chasser . Notez, cependant, que ces règles sont disponibles uniquement pour les utilisateurs enregistrés.
Les professionnels des SOC sans compte sur la plateforme peuvent parcourir la collection de règles Sigma disponibles via le Cyber Threat Search Engine. Appuyez sur le bouton Explorer le Contexte de la Menace pour accéder à une boutique unique de contenu SOC gratuit, sans engagement.
Détecter & Chasser Explorer le Contexte de la Menace
Analyse de DogWalk
La vulnérabilité zero-day de Microsoft Windows dans MSDT nommée DogWalk a été documentée pour la première fois en 2020 par un chercheur en sécurité indépendant Imre Rad mais a été ignorée par Microsoft à ce moment-là. Rad a partagé la réponse de Microsoft, où ils ont refusé de considérer le problème comme une vulnérabilité, refusant donc de le corriger.
Cette faille de traversée de chemin a été réexaminée fin mai – début juin 2022 par un chercheur en sécurité connu sous le pseudonyme j00sean.
La chaîne d’attaque inclut le fait que la cible soit infectée par un fichier archive .diagcab malveillant après l’avoir reçu par e-mail ou que l’utilisateur l’ait téléchargé volontairement. Le fichier armé ne déclenche pas une réponse de sécurité appropriée (les principaux navigateurs ne le signalent pas comme suspect et potentiellement dangereux). Lorsqu’il est ouvert, il dépose la charge utile dans le dossier de démarrage de Windows, exécutée par le système d’exploitation lors de la prochaine connexion.
Les appareils exécutant le système d’exploitation Windows 7 ou supérieur restent vulnérables à cet exploit.
Pour renforcer vos capacités de chasse aux menaces, rejoignez le Programme de Prime à la Menace et obtenez un accès complet au seul Marché de Détection des Menaces où les chercheurs monétisent leur contenu. Améliorez votre arsenal de sécurité avec des éléments de contenu de détection multi-fournisseurs et multi-outils adaptés à plus de 25 technologies SIEM, EDR et XDR leaders du marché.
