VULNÉRABILITÉ CRITIQUE « PATH TRAVERSAL » DANS L’OUTIL DE DIAGNOSTIC DU SUPPORT WINDOWS (MSDT)

  • Post author:
  • Post category:Publications

Origine: bjCSIRT

Numéro: 2022/ALERTE/028

Date de l’alerte: 11/08/2022

APERÇU :

La vulnérabilité CVE-2022-34713 surnommé DogWalk avec un niveau de criticité classée Elevé a été trouvée dans l’outil de diagnostic du support Windows (MSDT) qu’un attaquant pourrait exploiter pour obtenir l’exécution de code à distance sur les systèmes compromis.

DESCRIPTION :

MSDT (Microsoft Diagnostic Troubleshooting Wizard) est un outil de diagnostic du Support Microsoft intégré par défaut sur toutes les versions de Windows prises en charge. Plusieurs vulnérabilités ont été de même précédemment découvertes dans MSDT dont CVE-2022-30190 aussi nommée « Follina ».

La nouvelle vulnérabilité DogWalk  peut être exploiter en ajoutant des exécutables conçus de manière malveillante au démarrage de Windows lorsque la cible ouvre un fichier « .diagcab » conçu de manière malveillante (reçu par e-mail ou téléchargé depuis le Web).

Les exécutables plantés seraient alors automatiquement exécutés la prochaine fois que les victimes redémarreraient leur appareil Windows pour effectuer diverses tâches telles que le téléchargement de charges utiles de logiciels malveillants supplémentaires.

Bien que des attaquants non authentifiés puissent exploiter la vulnérabilité dans des attaques de faible complexité, une exploitation réussie nécessite une interaction de l’utilisateur (inciter la cible à ouvrir des pièces jointes malveillantes ou à cliquer sur un lien pour télécharger et exécuter un fichier malveillant).

Dans un scénario d’attaque par e-mail, un attaquant pourrait exploiter la vulnérabilité en envoyant le fichier spécialement conçu à l’utilisateur et en convainquant l’utilisateur d’ouvrir le fichier.

Dans un scénario d’attaque Web, un attaquant pourrait héberger un site Web (ou exploiter un site Web compromis qui accepte ou héberge du contenu fourni par l’utilisateur) contenant un fichier spécialement conçu pour exploiter la vulnérabilité.

IMPACT :

  • traversée de chemin (path traversal) dans l’outil de diagnostic de support Windows (MSDT);
  • exécution de code à distance sur les systèmes compromis ;
  • contournement de la politique de sécurité.

SYSTEMES AFFECTÉS

Selon Microsoft, DogWalk affecte toutes les versions de Windows prises en charge, y compris les dernières versions client et serveur, Windows 11 et Windows Server 2022.

MESURES À PRENDRE :

Il est fortement recommandé d’effectuer une mise à jour vers une version plus récente de Windows et d’appliqués les correctifs de sécurités liés à cette vulnérabilité, à savoir:

Windows 10 for 32-bit Systems 5016639 (Security Update)
Windows 10 for x64-based Systems 5016639 (Security Update)
Windows 10 Version 1607 for 32-bit Systems 5016622 (Security Update)
Windows 10 Version 1607 for x64-based Systems 5016622 (Security Update)
Windows 10 Version 1809 for 32-bit Systems 5016623 (Security Update)
Windows 10 Version 1809 for ARM64-based Systems 5016623 (Security Update)
Windows 10 Version 1809 for x64-based Systems 5016623 (Security Update)
Windows 10 Version 20H2 for 32-bit Systems 5016616 (Security Update)
Windows 10 Version 20H2 for ARM64-based Systems 5016616 (Security Update)
Windows 10 Version 20H2 for x64-based Systems 5016616 (Security Update)
Windows 10 Version 21H1 for 32-bit Systems 5016616 (Security Update)
Windows 10 Version 21H1 for ARM64-based Systems 5016616 (Security Update)
Windows 10 Version 21H1 for x64-based Systems 5016616 (Security Update)
Windows 10 Version 21H2 for 32-bit Systems 5016616 (Security Update)
Windows 10 Version 21H2 for ARM64-based Systems 5016616 (Security Update)
Windows 10 Version 21H2 for x64-based Systems 5016616 (Security Update)
Windows 11 for ARM64-based Systems 5016629 (Security Update)
Windows 11 for x64-based Systems

5016629 (Security Update)

 

REFERENCES :

  • https://www.bleepingcomputer.com/microsoft-patch-tuesday-reports/August-2022.html#CVE-2022-34713
  • https://www.bleepingcomputer.com/news/microsoft/microsoft-patches-windows-dogwalk-zero-day-exploited-in-attacks/
  • https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-34713
Partagez sur vos réseaux.