DogWalk 脆弱性検出：Microsoft Windowsにおける新たなパストラバーサルの欠陥

Microsoft Support Diagnostic Tool (MSDT) のゼロデイセキュリティ欠陥、通称 DogWalk が、新たに現れました。この欠陥はリモートコード実行脆弱性であり、既に積極的に悪用されています。 Follina、追跡されています。 CVE-2022-30190。Follina の場合と同様に、MSDT に影響を与える大きなセキュリティ問題であり、最初に注意を促されたとき、Microsoft のトラブルシューティングチームはこの欠陥を無視しました。執筆時点では、この欠陥に CVE はまだ割り当てられていません。

非公式のパッチがリリースされ、現在 0patch プラットフォームを通じて利用可能です。

DogWalk 脆弱性を検出する

SOC Prime の専門の脅威ハンティングエンジニアチームが Sigma ルール をリリースし、DogWalk セキュリティホールを介してシステムが侵害されたかどうかを識別するのに役立ちます。このルールは、攻撃者が .diagcab ファイルを利用して被害者のシステムのディスクに追加のファイルをドロップしたかどうかを検出します。

diagcab ファイルを使用した ‘DogWalk’ の悪用による可能性のある実行（file_event 経由）

これらのルールは最新の MITRE ATT&CK® フレームワーク v.10 に準拠しており、Execution 戦術と User Execution (T1204; T1204.002) 技術に対応しています。

この検出は、Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, AWS OpenSearch といった業界をリードする SIEM, EDR, & XDR プラットフォームに対する翻訳が用意されています。

他のシステム侵害の可能性を検出するには、SOC Prime プラットフォームの Threat Detection Marketplace リポジトリで利用可能なルールの完全なリストを確認するには 検出 & ハント ボタンを押してください。ただし、これらのルールは登録ユーザーのみが使用できます。

プラットフォームのアカウントを持たない SOC プロフェッショナルは、Cyber Threat Search Engine を介して利用可能な Sigma ルールのコレクションを閲覧できます。無料の SOC コンテンツを一元管理で取得するには、 脅威コンテキストを探索 ボタンを押してください。

検出 & ハント 脅威コンテキストを探索

DogWalk の分析

MSDT における Microsoft Windows のゼロデイ脆弱性、通称 DogWalk は、2020 年に独立したセキュリティ研究者 Imre Rad によって初めて文書化されましたが、当時は Microsoft に無視されました。Rad は、Microsoft がこの問題を脆弱性と見なすことを拒否し、その結果修正を拒否したという回答を共有しました。

このパストラバーサル欠陥は、2022 年 5 月末から 6 月初旬にかけて、 j00sean.

として知られるセキュリティ研究者により再注目されました。攻撃チェーンには、対象がメールで悪意のある .diagcab アーカイブファイルを受け取るか、自発的にダウンロードすることで感染するプロセスが含まれます。この武器化されたファイルは、適切なセキュリティ対応を促しません（主要なブラウザはそれを疑わしいまたは潜在的に危険とは見なさない）。開かれたとき、Windows スタートアップフォルダにペイロードをドロップし、その後ログイン時に OS によって実行されます。

Windows 7 OS またはそれ以降を実行しているデバイスは、このエクスプロイトに対して脆弱な状態にあります。

脅威ハンティング能力を向上させるには、 Threat Bounty Program に参加し、研究者が自分のコンテンツを収益化する唯一の Threat Detection Marketplace へ完全にアクセスしてください。25 以上の市場をリードする SIEM, EDR, および XDR テクノロジーに対応した、幅広いベンダー横断型の検出コンテンツアイテムでセキュリティアーセナルを強化します。