{"id":190487,"date":"2022-06-08T14:48:59","date_gmt":"2022-06-08T16:48:59","guid":{"rendered":"https:\/\/teknomers.com\/fr\/les-chercheurs-mettent-en-garde-contre-unpatched-dogwalk-vulnerabilite-microsoft-windows\/"},"modified":"2022-06-08T14:49:00","modified_gmt":"2022-06-08T16:49:00","slug":"les-chercheurs-mettent-en-garde-contre-unpatched-dogwalk-vulnerabilite-microsoft-windows","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/les-chercheurs-mettent-en-garde-contre-unpatched-dogwalk-vulnerabilite-microsoft-windows\/","title":{"rendered":"Les chercheurs mettent en garde contre Unpatched &quot;Dogwalk&quot; Vuln\u00e9rabilit\u00e9 Microsoft Windows"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un correctif de s\u00e9curit\u00e9 non officiel a \u00e9t\u00e9 mis \u00e0 disposition pour une nouvelle vuln\u00e9rabilit\u00e9 Windows zero-day dans l&#8217;outil de diagnostic de support Microsoft (MSDT), alors m\u00eame que la faille Follina continue d&#8217;\u00eatre exploit\u00e9e \u00e0 l&#8217;\u00e9tat sauvage.<\/p>\n<p>Le probl\u00e8me \u2014 r\u00e9f\u00e9renc\u00e9 comme <strong>Dogwalk<\/strong> \u2014 se rapporte \u00e0 une faille de travers\u00e9e de chemin qui peut \u00eatre exploit\u00e9e pour cacher un fichier ex\u00e9cutable malveillant dans le dossier de d\u00e9marrage de Windows lorsqu&#8217;une cible potentielle ouvre un fichier d&#8217;archive &#8220;.diagcab&#8221; sp\u00e9cialement con\u00e7u qui contient un fichier de configuration de diagnostic.<\/p>\n<p>L&#8217;id\u00e9e est que la charge utile serait ex\u00e9cut\u00e9e la prochaine fois que la victime se connecterait au syst\u00e8me apr\u00e8s un red\u00e9marrage.  La vuln\u00e9rabilit\u00e9 affecte toutes les versions de Windows, \u00e0 partir de Windows 7 et Server Server 2008 jusqu&#8217;aux derni\u00e8res versions.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-jira\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Nouvelle-variante-Chaos-Ransomware-Builder-quotYashmaquot-Decouvert-a-letat-sauvage.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>DogWalk \u00e9tait \u00e0 l&#8217;origine <a rel=\"nofollow noopener\" href=\"https:\/\/irsl.medium.com\/the-trouble-with-microsofts-troubleshooters-6e32fc80b8bd\" target=\"_blank\">divulgu\u00e9<\/a> par le chercheur en s\u00e9curit\u00e9 Imre Rad en janvier 2020 apr\u00e8s que Microsoft, ayant reconnu le probl\u00e8me, l&#8217;ait consid\u00e9r\u00e9 comme n&#8217;\u00e9tant pas un probl\u00e8me de s\u00e9curit\u00e9.<\/p>\n<p>&#8220;Il existe un certain nombre de types de fichiers qui peuvent ex\u00e9cuter du code de cette mani\u00e8re mais qui ne sont techniquement pas des&#8221; ex\u00e9cutables &#8220;&#8221;, a d\u00e9clar\u00e9 le g\u00e9ant de la technologie \u00e0 l&#8217;\u00e9poque.  &#8220;Et un certain nombre d&#8217;entre eux sont consid\u00e9r\u00e9s comme dangereux pour les utilisateurs \u00e0 t\u00e9l\u00e9charger\/recevoir par e-mail, m\u00eame &#8216;.diagcab&#8217; est bloqu\u00e9 par d\u00e9faut dans Outlook sur le Web et ailleurs.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"544\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/Les-chercheurs-mettent-en-garde-contre-Unpatched-quotDogwalkquot-Vulnerabilite-Microsoft.gif\" \/><\/div>\n<p>Alors que tous les fichiers t\u00e9l\u00e9charg\u00e9s et re\u00e7us par e-mail incluent un Mark-of-the-Web (<a rel=\"nofollow noopener\" href=\"https:\/\/attack.mitre.org\/techniques\/T1553\/005\/\" target=\"_blank\">MOTW<\/a>) utilis\u00e9e pour d\u00e9terminer leur origine et d\u00e9clencher une r\u00e9ponse de s\u00e9curit\u00e9 appropri\u00e9e, Mitja Kolsek de 0patch a not\u00e9 que l&#8217;application MSDT n&#8217;est pas con\u00e7ue pour v\u00e9rifier cet indicateur et permet donc d&#8217;ouvrir le fichier .diagcab sans avertissement.<\/p>\n<p>&#8220;Outlook n&#8217;est pas le seul v\u00e9hicule de livraison\u00a0: ce fichier est joyeusement t\u00e9l\u00e9charg\u00e9 par tous les principaux navigateurs, y compris Microsoft Edge, en visitant simplement (!) Un site Web, et il suffit d&#8217;un seul clic (ou d&#8217;un mauvais clic) dans la liste de t\u00e9l\u00e9chargement du navigateur pour avoir il s&#8217;est ouvert&#8221;, Kolsek <a rel=\"nofollow noopener\" href=\"https:\/\/blog.0patch.com\/2022\/06\/microsoft-diagnostic-tools-dogwalk.html\" target=\"_blank\">a dit<\/a>.<\/p>\n<p>&#8220;Aucun avertissement n&#8217;est affich\u00e9 dans le processus, contrairement au t\u00e9l\u00e9chargement et \u00e0 l&#8217;ouverture de tout autre fichier connu capable d&#8217;ex\u00e9cuter [the] code de l&#8217;attaquant.&#8221;<\/p>\n<p><iframe loading=\"lazy\" title=\"Micropatching Microsoft Diagnostic Tool &quot;DogWalk&quot; Package Path Traversal (0day)\" width=\"640\" height=\"360\" src=\"https:\/\/www.youtube.com\/embed\/dgr-_c33vIs?feature=oembed\" frameborder=\"0\" allow=\"accelerometer; autoplay; clipboard-write; encrypted-media; gyroscope; picture-in-picture; web-share\" referrerpolicy=\"strict-origin-when-cross-origin\" allowfullscreen><\/iframe><\/p>\n<p>Les patchs et les <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/j00sean\/status\/1532416426702786560\" target=\"_blank\">regain d&#8217;int\u00e9r\u00eat<\/a> dans le bogue zero-day, suivez l&#8217;exploitation active de la vuln\u00e9rabilit\u00e9 d&#8217;ex\u00e9cution de code \u00e0 distance &#8220;Follina&#8221; en exploitant des documents Word contenant des logiciels malveillants qui abusent du sch\u00e9ma d&#8217;URI du protocole &#8220;ms-msdt:&#8221;.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>Selon la soci\u00e9t\u00e9 de s\u00e9curit\u00e9 d&#8217;entreprise Proofpoint, la faille (CVE-2022-30190, score CVSS\u00a0: 7,8) est militaris\u00e9e par un acteur malveillant suivi sous le nom de TA570 pour livrer le cheval de Troie voleur d&#8217;informations QBot (alias Qakbot).<\/p>\n<p>&#8220;L&#8217;acteur utilise des messages d\u00e9tourn\u00e9s de fils de discussion avec des pi\u00e8ces jointes HTML qui, si elles sont ouvertes, d\u00e9posent une archive ZIP&#8221;, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9. <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/threatinsight\/status\/1534227444915482625\" target=\"_blank\">a dit<\/a> dans une s\u00e9rie de tweets d\u00e9taillant les attaques de phishing.<\/p>\n<p>&#8220;L&#8217;archive contient un IMG avec un document Word, un fichier de raccourci et une DLL. Le LNK ex\u00e9cutera la DLL pour d\u00e9marrer QBot. Le document chargera et ex\u00e9cutera un fichier HTML contenant PowerShell abusant de CVE-2022-30190 utilis\u00e9 pour t\u00e9l\u00e9charger et ex\u00e9cuter Qbot. &#8220;<\/p>\n<p>QBot a \u00e9galement \u00e9t\u00e9 utilis\u00e9 par des courtiers d&#8217;acc\u00e8s initiaux pour obtenir un acc\u00e8s initial aux r\u00e9seaux cibles, permettant aux affili\u00e9s de ransomwares d&#8217;abuser de la prise de pied pour d\u00e9ployer des logiciels malveillants de cryptage de fichiers.<\/p>\n<p>Le rapport DFIR, plus t\u00f4t cette ann\u00e9e, a \u00e9galement <a rel=\"nofollow noopener\" href=\"https:\/\/thedfirreport.com\/2022\/02\/07\/qbot-likes-to-move-it-move-it\/\" target=\"_blank\">document\u00e9<\/a> comment les infections QBot se d\u00e9placent \u00e0 un rythme rapide, permettant au logiciel malveillant de r\u00e9colter les donn\u00e9es du navigateur et les e-mails Outlook \u00e0 peine 30 minutes apr\u00e8s l&#8217;acc\u00e8s initial et de propager la charge utile \u00e0 un poste de travail adjacent autour de la marque des 50 minutes.<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/researchers-warn-of-unpatched-dogwalk.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un correctif de s\u00e9curit\u00e9 non officiel a \u00e9t\u00e9 mis \u00e0 disposition pour une nouvelle vuln\u00e9rabilit\u00e9 Windows zero-day dans l&#8217;outil de diagnostic de support Microsoft (MSDT), alors m\u00eame que la faille Follina continue d&#8217;\u00eatre exploit\u00e9e \u00e0 l&#8217;\u00e9tat sauvage. Le probl\u00e8me \u2014 r\u00e9f\u00e9renc\u00e9 comme Dogwalk \u2014 se rapporte \u00e0 une faille de travers\u00e9e de chemin qui peut [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":190489,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[12848,4168,841,4158,4165,4161,525,4157,4159,4171,4170,65,4167,3915,8362,4160,4163,4162,75791,4172,4169,75790,4166,3667,4164,45020],"class_list":["post-190487","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chercheurs","tag-comment-pirater","tag-contre","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-garde","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-les","tag-logiciel-malveillant-de-ransomware","tag-mettent","tag-microsoft","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-quotdogwalkquot","tag-securite-informatique","tag-securite-internet","tag-unpatched","tag-violation-de-donnees","tag-vulnerabilite","tag-vulnerabilite-logicielle","tag-windows"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/190487","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=190487"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/190487\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/190489"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=190487"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=190487"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=190487"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}