Récemment, nous avons écrit sur la soi-disant vulnérabilité Follina Windows qui a ensuite reçu l'identifiant CVE-2022-30190.
La vulnérabilité a été découverte par l'équipe de recherche nao_sec, suite à la découverte d'un document Word téléchargé sur VirusTotal à partir d'une adresse IP biélorusse. Peu dit, la faille exploite le lien externe de Microsoft Word pour charger le code HTML, puis utilise le schéma 'ms-msdt' pour exécuter le code PowerShell.
Il convient de noter que le problème a été décrit pour la première fois par Microsoft en avril comme une vulnérabilité non liée à la sécurité, après qu'un chercheur en sécurité du Shadow Chaser Group a rapporté avoir observé un exploit public. Bien qu'il ait admis que le problème était activement exploité dans la nature, Microsoft ne l'a pas décrit comme un jour zéro.
Découvrez le DogWalk Zero-Day
Quelques semaines plus tard, un autre, une vulnérabilité plus grave a été découverte, qui est pire que la Follina zero-day. Cette vulnérabilité, surnommé DogWalk, a été signalé pour la première fois à Microsoft en janvier 2020 par le chercheur en sécurité Imre Rad. De la même manière que ce qui s'est passé avec le rapport original de Follina, Microsoft a décidé que DogWalk n'était pas si mal car il obligeait la victime à ouvrir un fichier.
Malheureusement, cette évaluation initiale par l'entreprise n'est pas tout à fait vraie. Il s'avère qu'il est possible de livrer un implant malveillant dans le dossier de démarrage de l'utilisateur connecté. Cette fois, il s'exécutera à chaque fois que l'utilisateur se connectera, ce qui signifie que l'utilisateur n'a pas besoin de télécharger un fichier. Cela est dû à son type [une archive .CAB contenant un fichier de configuration de diagnostic], et il ne sera pas vérifié par Windows SmartScreen lors du téléchargement depuis Edge ou Chrome.
En outre, ce scénario est plus que plausible car l'outil de diagnostic de Microsoft (MSDT) est sujet à une attaque par traversée de chemin. L'attaque peut se produire lorsqu'un chemin de fichier Windows spécialement conçu est déployé pour lire ou écrire des fichiers généralement indisponibles pour l'appelant.. Le résultat final est que l'utilisateur qui est amené à télécharger l'archive CAO malformée installera en fait un logiciel malveillant persistant actuellement non détecté par Windows Defender..
Existe-t-il une atténuation contre le DogWalk Zero-Day?
Malheureusement, en ce moment, il ne semble pas y avoir d'atténuation officielle contre cette grave faille de sécurité. Les chercheurs en sécurité suggérer les options suivantes que Microsoft devrait implémenter dès que possible:
- Faites en sorte que MSDT respecte le soi-disant indicateur de « marque du Web » que Windows utilise pour marquer les exécutables qui ont été téléchargés à partir d'Internet. Ce drapeau est la raison pour laquelle l'Explorateur Windows vous demande "êtes-vous sûr de vouloir ouvrir ce fichier?” lorsque vous essayez d'ouvrir un fichier exécutable que vous avez téléchargé depuis votre navigateur.
- Ajouter la détection de cette vulnérabilité spécifique à Defender et Defender pour Endpoint.
Nous suivrons l'histoire de DogWalk et mettrons à jour cet article dès que de nouvelles informations seront disponibles. Pendant ce temps, tu peux apprendre comment atténuer la faille Follina.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: