Rilevamento della Vulnerabilità DogWalk: Nuova Falla di Traversal del Percorso in Microsoft Windows
Indice:
Un’altra falla di sicurezza zero-day nello Strumento di Diagnostica di Supporto Microsoft (MSDT) soprannominata DogWalk segue da vicino quella del suo equivalente attivamente sfruttato, una vulnerabilità di esecuzione di codice remoto Follina, tracciata come CVE-2022-30190. Proprio come nel caso di Follina, un grosso problema di sicurezza che colpisce MSDT, i tecnici Microsoft hanno ignorato il bug quando è stato inizialmente portato alla loro attenzione. Al momento della scrittura, non è ancora stato assegnato un CVE a questa falla.
È stata appena rilasciata una patch non ufficiale, ora disponibile tramite la piattaforma 0patch.
Rileva la Vulnerabilità DogWalk
Il team di ingegneri dedicati alla caccia alle minacce di SOC Prime ha rilasciato una regola Sigma per aiutarti a identificare se il tuo sistema è stato compromesso tramite la falla di sicurezza DogWalk. La regola aiuta a rilevare se gli aggressori hanno utilizzato file .diagcab per inserire ulteriori file sul disco di un sistema vittima con esecuzione da parte dell’utente:
Possibile Esecuzione da ‘DogWalk’ Sfruttamento con Uso di File diagcab (tramite file_event)
Le regole sono allineate con l’ultima versione del framework MITRE ATT&CK® v.10. affrontando la tattica di Esecuzione e la tecnica di Esecuzione Utente (T1204; T1204.002).
Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR leader del settore: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, e AWS OpenSearch.
Per rilevare altri possibili compromessi di sistema, consulta l’elenco completo delle regole disponibili nel repository del Threat Detection Marketplace della piattaforma di SOC Prime premendo il pulsante Rileva & Caccia Nota, tuttavia, che queste regole sono disponibili solo per gli utenti registrati.
I professionisti SOC senza l’account della Piattaforma possono esplorare la raccolta di regole Sigma disponibili tramite il Cyber Threat Search Engine. Premi il pulsante Esplora il Contesto della Minaccia per accedere a un negozio unico di contenuti SOC gratuiti, nessun vincolo.
Rileva & Caccia Esplora il Contesto della Minaccia
Analisi di DogWalk
La vulnerabilità zero-day di Microsoft Windows in MSDT soprannominata DogWalk è stata documentata per la prima volta nel 2020 da un ricercatore di sicurezza indipendente Imre Rad ma a quel tempo fu ignorata da Microsoft. Rad ha condiviso la risposta di Microsoft, dove rifiutavano di considerare la questione una vulnerabilità, ergo negando di risolverla.
Questo difetto di traversata del percorso è stato riconsiderato a fine maggio – inizio giugno 2022 da un ricercatore di sicurezza noto con il soprannome j00sean.
La catena di attacco include il bersaglio che si infetta con un file archivio .diagcab dannoso ricevuto tramite email o scaricato volontariamente dall’utente. Il file armato non attiva una risposta di sicurezza appropriata (i principali browser non lo segnalano come sospetto e potenzialmente pericoloso). Quando aperto, scarica il carico utile nella cartella Esecuzioni automatiche di Windows, eseguito dal sistema operativo al successivo accesso.
I dispositivi che eseguono il sistema operativo Windows 7 o versioni successive rimangono vulnerabili a questo exploit.
Per potenziare le tue capacità di caccia alle minacce, unisciti al Programma Bounty sulle Minacce e ottieni l’accesso completo all’unico Threat Detection Marketplace dove i ricercatori monetizzano i loro contenuti. Migliora il tuo arsenale di sicurezza con elementi di contenuto di rilevamento cross-vendor e cross-tool personalizzati per oltre 25 tecnologie SIEM, EDR e XDR leader di mercato.
