Microsoft Windows のゼロデイ脆弱性 DogWalk が FIX:MSDT に関連する RCE

Microsoft patches Windows DogWalk zero-day exploited in attacks

2022/08/09 BleepingComputer — Microsoft が公開したセキュリティ更新プログラムには、悪用コードが公開され、攻撃に悪用されている、深刻度の高い Windows のゼロデイ脆弱性に対処するものも含まれている。August 2022 Patch Tuesday の一部として修正された、このセキュリティ脆弱性は、現在 CVE-2022-34713 として追跡され、DogWalk と名付けられている。

具体的に言うと、Windows Support Diagnostic Tool (MSDT) のパス・トラバーサルの欠陥に起因するものであり、その悪用に成功した攻撃者は、侵害したシステム上でリモート・コード実行を得ることができる。悪意を持って細工した .diagcab ファイル (電子メール/Web 経由) をターゲットが開くと、悪意の実行可能ファイルが Windows スタートアップに追加され、攻撃が始まる。

この、組み込まれた悪意の実行ファイルは、被害者が Windows デバイスを再起動するときにも自動的に実行され、追加のマルウェア・ペイロードをダウンロードするなどの、さまざまなタスクを実行することになる。

DogWalk は、2年以上前の 2020年1月に、セキュリティ研究者である Imre Rad によって公表された。その際に、彼の報告に対して Microsoft は、セキュリティの問題とは認めず、修正プログラムは提供しないと回答していた。 

しかし、最近になって、セキュリティ研究者の j00sean が、Microsoft Support Diagnostics Tool のバグを再発見したことで、再び世間の注目を浴びるようになった。

未認証の攻撃者による、複雑度の低い攻撃において、この脆弱性の悪用が可能だが、その悪用に成功させるには、ユーザーとの対話が必要となる。具体的には、ターゲットを騙して悪意の電子メールの添付ファイルを開かせることや、リンクをクリックさせて悪意のファイルをダウンロード/実行させることが必要になる。 

今日のアドバイザリで Microsoft は、「電子メールによる攻撃の場合、攻撃者は、特別に細工したファイルをユーザーに送信し、そのファイルを開くように仕向けることで、この脆弱性を悪用できる。Web ベースの攻撃シナリオでは、悪意のファイルを含む Web サイトをホストし、そのファイルをダウンロード/実行させることで、この脆弱性を悪用できる」と説明している。

Microsoft によると、DogWalk の影響範囲は、Windows 11 と Windows Server 2022 を含む、最新のクライアントとサーバーのバージョンと、すべての Windows 現行バージョンに及ぶという。

7月に Microsoft は、別の Windows MSDT ゼロデイ (Follina CVE-2022-30190) に関して、最初の報告に対してセキュリティ関連の問題ではないと拒否した後に、公式のセキュリティ勧告を発表せざるを得なくなっている。

今日の Microsoft は、CVE-2022-30134 : Microsoft Exchange Information Disclosure Vulnerability として追跡されている、電子メールメッセージへの不正アクセスを攻撃者に許す、一般に公開されたゼロデイ脆弱性に対して、セキュリティ更新プログラムをリリースしている。

Microsoft は、August 2022 Patch Tuesday の一環として、リモートでのコード実行や権限昇格を可能にする 17件の深刻な脆弱性を含む、全部で 112件の脆弱性に対してパッチを適用した。

8月の Patch Tuesday で修正された DogWalk ですが、6月9日の「Windows の新たな脆弱性 DogWalk を検出:Follina と同様に MSDT に影響する」でお伝えしたときには、まだ CVE も割り当てられていない状況でした。Follina と同様に MSDT に影響するとのことですが、そのほかにも何かが出てくるものなのでしょうか? よろしければ、6月1日の「Windows のゼロデイ脆弱性 Follina CVE-2022-30190 は ProtocolNightmare になるのか?」も、ご参照ください。

%d bloggers like this: