Detecção de Vulnerabilidade DogWalk: Novo Problema de Travessia de Caminho no Microsoft Windows
Índice:
Outra falha crítica de segurança no Microsoft Support Diagnostic Tool (MSDT), apelidada de DogWalk, surge logo após o seu homólogo explorado ativamente, uma vulnerabilidade de execução remota de código Follina, acompanhada como CVE-2022-30190. Assim como no caso da Follina, um grande problema de segurança afetando o MSDT, os solucionadores de problemas da Microsoft ignoraram o bug quando ele foi inicialmente reportado. No momento da escrita, ainda não há um CVE atribuído a essa falha.
Um patch não oficial acaba de ser lançado, agora disponível via a plataforma 0patch.
Detectar Vulnerabilidade DogWalk
A equipe de engenheiros dedicados à caça de ameaças da SOC Prime lançou uma regra Sigma para ajudar a identificar se o seu sistema foi comprometido através da vulnerabilidade DogWalk. A regra ajuda a detectar se os atacantes utilizaram arquivos .diagcab para soltar arquivos adicionais no disco de um sistema vítima com execução de usuário:
Possível Execução por Exploração de ‘DogWalk’ com Uso de Arquivo diagcab (via file_event)
As regras estão alinhadas com o mais recente quadro MITRE ATT&CK® v.10. abordando a tática de Execução e a técnica de Execução do Usuário (T1204; T1204.002).
Essa detecção tem traduções para as seguintes plataformas líderes em SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, SentinelOne, Graylog, Regex Grep, RSA NetWitness, Chronicle Security, Microsoft Defender ATP, Securonix, Apache Kafka ksqlDB, Carbon Black, Open Distro, e AWS OpenSearch.
Para detectar outros possíveis comprometimentos do sistema, veja a lista completa de regras disponíveis no repositório Threat Detection Marketplace da plataforma SOC Prime pressionando o botão Detect & Hunt . Note, entretanto, que essas regras estão disponíveis apenas para usuários registrados.
Profissionais de SOC sem conta na Plataforma podem navegar pela coleção de regras Sigma disponível através do Cyber Threat Search Engine. Pressione o botão Explore Threat Context para acessar um ponto único de fornecimento para conteúdo SOC gratuito, sem complicações.
Detect & Hunt Explore Threat Context
Análise de DogWalk
A vulnerabilidade zero-day do Microsoft Windows no MSDT, denominada DogWalk, foi documentada pela primeira vez em 2020 por um pesquisador de segurança independente Imre Rad , mas foi ignorada pela Microsoft na época. Rad compartilhou a resposta da Microsoft, onde recusaram considerar o problema como uma vulnerabilidade, portanto, negando-se a corrigir.
Essa falha de travessia de caminho foi reavaliada no fim de maio – início de junho de 2022 por um pesquisador de segurança conhecido pelo apelido j00sean.
A cadeia de ataque inclui o alvo sendo infectado com um arquivo de arquivo diagcab malicioso ao recebê-lo por e-mail ou ao usuário baixá-lo voluntariamente. O arquivo armado não ativa uma resposta de segurança apropriada (os principais navegadores não o sinalizam como suspeito e potencialmente perigoso). Quando aberto, ele solta a carga no diretório de inicialização do Windows, sendo executada pelo sistema operacional na próxima entrada.
Os dispositivos executando o sistema operacional Windows 7 ou superior permanecem vulneráveis a esse exploit.
Para aumentar suas capacidades de caça às ameaças, junte-se ao Threat Bounty Program e obtenha acesso completo ao único Marketplace de Detecção de Ameaças onde pesquisadores monetizam seu conteúdo. Melhore seu arsenal de segurança com itens de conteúdo de detecção entre fornecedores e ferramentas, adaptados para mais de 25 tecnologias líderes de mercado em SIEM, EDR e XDR.
