Dogwalk : La faille critique non corrigée de Windows 11
Charles Gouin-Peyrot
Publié le 09 juin 2022 · 4 min de lecture
"Il existe un certain nombre de types de fichiers qui peuvent exécuter du code de cette manière, mais qui ne sont pas techniquement des 'exécutables'", avait alors déclaré le géant technologique. "Et un certain nombre d'entre eux sont considérés comme dangereux pour les utilisateurs qui les téléchargent/reçoivent par e-mail, même '.diagcab' est bloqué par défaut dans Outlook sur le web et à d'autres endroits."Alors que tous les fichiers téléchargés et reçus par courrier électronique comportent une balise Mark-of-the-Web (MOTW) qui est utilisée pour déterminer leur origine et déclencher une réponse de sécurité appropriée, Mitja Kolsek de 0patch a noté que l'application MSDT n'est pas conçue pour vérifier cette balise et permet donc au fichier .diagcab d'être ouvert sans avertissement.
"Outlook n'est pas le seul véhicule de livraison : ce fichier est allègrement téléchargé par tous les principaux navigateurs, y compris Microsoft Edge, en visitant simplement ( !) un site Web, et il suffit d'un seul clic (ou d'un mauvais clic) dans la liste des téléchargements du navigateur pour qu'il soit ouvert", a déclaré Kolsek.Les correctifs et le regain d'intérêt pour ce bug de type "zero-day" font suite à l'exploitation active de la vulnérabilité d'exécution de code à distance "Follina" par le biais de documents Word contenant des logiciels malveillants qui abusent du schéma URI du protocole "ms-msdt :". Selon la société de sécurité d'entreprise Proofpoint, la faille (CVE-2022-30190, score CVSS : 7,8) est exploitée par un acteur de la menace, repéré sous le nom de TA570, pour diffuser le cheval de Troie QBot (alias Qakbot) de vol d'informations."Aucun avertissement n'est affiché au cours du processus, contrairement au téléchargement et à l'ouverture de tout autre fichier connu capable d'exécuter le code de [l']attaquant."
"L'acteur utilise des messages détournés avec des pièces jointes HTML qui, si elles sont ouvertes, déposent une archive ZIP", a déclaré la société dans une série de tweets détaillant les attaques de phishing. "L'archive contient un IMG avec un document Word, un fichier de raccourci et une DLL. Le LNK exécutera la DLL pour démarrer QBot. Le doc chargera et exécutera un fichier HTML contenant PowerShell abusant de CVE-2022-30190 utilisé pour télécharger et exécuter QBot."QBot a également été employé par des courtiers d'accès initial pour obtenir un accès initial aux réseaux cibles, permettant aux affiliés de ransomware d'abuser de cette prise de pied pour déployer des logiciels malveillants de chiffrement de fichiers. Le rapport DFIR, publié plus tôt cette année, a également montré que les infections par QBot se déplacent rapidement, permettant au malware de récolter les données du navigateur et les e-mails Outlook 30 minutes seulement après l'accès initial et de propager la charge utile à un poste de travail adjacent après 50 minutes environ.
L'auteur
Charles Gouin-Peyrot
Journaliste tech et testeur indépendant, je décrypte la tech grand public. Spécialisé dans le hardware, l'audio et la maison connectée, je mets ma rigueur technique et mon expérience de formateur au service de mes tests. Mon objectif est simple : dépasser les fiches techniques pour vous livrer des analyses transparentes, impartiales et ancrées dans un usage 100 % réel.

