Windows の新たな脆弱性 DogWalk を検出:Follina と同様に MSDT に影響する

DogWalk Vulnerability Detection: New Path Traversal Flaw in Microsoft Windows

2022/06/09 SOCPrime — DogWalk と呼ばれる、Microsoft Support Diagnostic Tool (MSDT) のゼロデイ脆弱性が、積極的に悪用されているリモートコード実行の脆弱性 Follina CVE-2022-30190 の直後に発生した。MSDT に影響を与える、深刻なセキュリティ問題である Follina のときと同様に、Microsoft のトラブル・シューターは、この脆弱性が最初に注目されたときに見過ごしており、この文章を書いている時点では、この脆弱性に CVE は割り当てられていない。

非公式なパッチがリリースされており、現在 0patch プラットフォームから入手可能である。


DogWalk を検出

SOC Prime の脅威ハンティング専門エンジニア・チームは、DogWalk セキュリティ・ホールを介したシステム侵害の有無を識別するための、Sigma Rule をリリースした。このルールにより、攻撃者が .diagcab ファイルを利用して、追加ファイルを被害者のシステム・ディスク上に、ユーザーを介してドロップさせているかどうかを検出できる。

このルールは、最新の MITRE ATT&CK® フレームワーク v.10 と連携しており、実行タクティクスとユーザー実行 (T1204; T1204.002) テクニックに対応している。

この検出は、業界をリードする SIEM/EDR/XDR プラットフォーム向けに翻訳されている。具体的には、Microsoft Sentinel/Elastic Stack/Splunk/Humio/Sumo Logic/ArcSight/QRadar/FireEye/LogPoint/SentinelOne/Graylog/Regex Grep/RSA NetWitness/Chronicle Security/Microsoft Defender ATP/Securonix/Apache Kafka ksqlDB/Carbon Black/Open Distro/AWS OpenSearch などが対象となる。

その他のシステム侵害の可能性は、「Detect & Hunt」ボタンを押して、SOC Prime プラットフォームの Threat Detection Marketplace リポジトリで利用できるルールの、全リストを参照することで検出できる。ただし、これらのルールを利用できるのは登録ユーザーのみとなる。

このプラットフォームのアカウントを持たない SOC 専門家は、Cyber Threat Search Engine を介して、利用可能な Sigma Rule のコレクションを閲覧できる。また Explore Threat Context ボタンを押すことで、無料の SOC コンテンツのワンストップ・ショップに無条件でアクセスできる。

DogWalk の解析

DogWalk と名付けられた、この MSDT のゼロデイ脆弱性は、独立系セキュリティ研究者の により、2020年の時点で文書化されているが、その当時の Microsoft は見過ごした。Microsoft は、この問題を脆弱性と認め、修正することを拒否したと、Imre Rad は捉えている。

このパストラバーサル脆弱性は、j00sean のニックネームで知られるセキュリティ研究者により、2022年5月下旬〜6月上旬に再び注意喚起されている。キルチェーンの例としては、悪意の .diagcab アーカイブ・ファイルを、ユーザーが電子メールやダウンロード介してドロップし、ターゲットが感染する形態などが挙げられる。

このファイルは、セキュリティ検知を回避する。また、主要な Web ブラウザも、この疑わしいファイルに対して、潜在的な危険性を示すフラグを立てない。そして、このファイルをオープンすると、Windows のスタートアップ・フォルダにペイロードがドロップされ、次回のログイン時に OS により実行される。

Windows 7 以上の OS を搭載したデバイスは、この脆弱性を悪用される可能性がある。

DogWalk と呼ばれる新たな脆弱性が公開されましたが、そこに絡むのが、Microsoft Support Diagnostic Tool (MSDT) であり、脆弱性 Follina CVE-2022-30190 と MSDT との関係に似たものが、この DogWalk にもあるのだろうと見られているようです。MSDT が登場したのは、5月30日の「Microsoft Office のゼロデイ脆弱性 Follina:マクロとは別経路で PowerShell コードを実行」ですが、6月1日の「Windows のゼロデイ脆弱性 Follina CVE-2022-30190 は ProtocolNightmare になるのか?」を読むと、この DogWalk も、根深い問題なのかと思えてきます。

%d bloggers like this: