Windows の MSDT ゼロデイ脆弱性「DogWalk」、V3 で検知

6月8日、ハッカーニュース(thehackernews.com)により DogWalk という新たな Windows ゼロデイ脆弱性が公開された。MS Office ドキュメントを対象とした Follina 脆弱性と同じく、MSDT(Microsoft Support Diagnostic Tool)において発生する脆弱性であり、圧縮形式の「.diagcab」拡張子のファイルを実行すると Windows のスタートアップフォルダーに不正なファイルがコピーされる危険性が確認されている。不正なファイルが動作するためには再起動が必要であるという制約事項があるが、Microsoft によるセキュリティパッチが公開されていない状況においては攻撃にさらされる可能性のある、危険な状態である。

AhnLab 分析チームからは、この脆弱性を利用した攻撃に対し V3 の行為検知機能を使用すれば、事前検知が可能であることを紹介する。Web ブラウザや Outlook を通じて配布された「.diagcab」ファイルをダウンロードしたあと実行すると、msdt.exe プロセスにより Windows スタートアップフォルダーに実行ファイルがコピーされる振る舞いを検知し、削除を行う。

  • スタートアッププログラムのパス:C:\Users\ユーザーアカウント\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

以下の画像は、この脆弱性を発現した際に、V3 行為検知機能によって検知する様子を示している。

[図-1] DogWalk 脆弱性攻撃の行為検知画面(1/2)

msdt.exe の振る舞いを遮断する詳細内容は以下の通りである。

[図-2] msdt.exe プロセスの実行遮断画面(2/2)
V3 インストール済み/未インストール環境を比較した動画

[V3 行為検知]
– InitialAccess/MDP.Event.M4331 (V3: 2022.06.15.00)

関連 IOC および詳細な解析情報は、AhnLab の次世代脅威インテリジェンスプラットフォーム「AhnLab TIP」サブスクリプションサービスを通して確認できる。

5 2 votes
評価する
guest
0 コメント
Inline Feedbacks
View all comments