CVE-2022-29799 und CVE-2022-29800 Erkennung: Neuartige Privilegieneskalations-Schwachstellen in Linux OS bekannt als Nimbuspwn
Inhaltsverzeichnis:
Am 26. April entdeckte das Microsoft 365 Defender Research Team ein paar neuartige Schwachstellen gemeinsam unter dem Namen Nimbuspwn zusammengefasst, die es Angreifern ermöglichen, Privilegien auf mehreren Linux-Desktop-Umgebungen zu eskalieren. Die neu entdeckten Nimbuspwn-Fehler wurden als CVE-2022-29799 und CVE-2022-29800 identifiziert.
Wenn sie zusammen verknüpft werden, geben diese Schwachstellen Hackern grünes Licht, um Root-Privilegien zu erlangen, Payloads bereitzustellen und die Linux-Systeme weiter über willkürliche Root-Code-Ausführung zu kompromittieren. Darüber hinaus kann die potenziell bösartige Aktivität durch diese neuartigen Nimbuspwn-Schwachstellen eskaliert werden, wodurch kompromittierte Linux-Umgebungen fortgeschritteneren Bedrohungen ausgesetzt werden, einschließlich Ransomware-Angriffen.
CVE-2022-29799 und CVE-2022-29800 Erkennung: Nimbuspwn
Um Einblick in Bedrohungen im Zusammenhang mit den kürzlich aufgedeckten Nimbuspwn-Schwachstellen zu geben, die als CVE-2022-29799 und CVE-2022-29800 verfolgt werden, hat das SOC Prime-Team eine dedizierte Sigma-Regel bereitgestellt, die auf der SOC Prime-Plattform verfügbar ist. Sicherheitsexperten werden aufgefordert, sich auf der Plattform zu registrieren oder sich mit den vorhandenen Anmeldeinformationen anzumelden, um diese Regel zu erreichen:
Mögliche Nimbuspwn LPE Aktivität (via process_creation)
Diese Erkennung kann in 20 SIEM-, EDR- und XDR-Lösungen verwendet werden und ist mit der neuesten MITRE ATT&CK® Framework-Version für verbesserte Sichtbarkeit in Bezug auf gegnerische TTPs abgestimmt und adressiert die Taktik der Privilegieneskalation sowie die entsprechende Technik zur Ausnutzung der Privilegieneskalation (T1068).
Um SIEMs und andere Sicherheitssysteme ständig auf dem neuesten Stand zu halten, werden Teams eingeladen, den umfassenden Erkennungsstack zu erkunden, der auf der SOC Prime-Plattform durch Klicken auf die Erkennungen anzeigen Schaltfläche verfügbar ist. Für diejenigen, die sich für Cybersicherheit begeistern und das Potenzial der Cyberabwehr durch einen Beitrag zu einer Crowdsourcing-Initiative verstärken möchten, kann das Beitreten zum Threat Bounty Programm ein großartiger Ausgangspunkt sein, um Fähigkeiten zur Bedrohungssuche und zur Inhaltsentwicklung zu entwickeln und für eine sicherere digitale Zukunft zusammenzuarbeiten.
Erkennungen anzeigen Treten Sie dem Threat Bounty Programm bei
Nimbuspwn Übersicht
Laut einer Untersuchung von Microsoft haben Forscher eine Reihe von Sicherheitslücken bei der Inspektion einer systemd-Komponente mit dem Namen networkd-dispatcher innerhalb eines beliebten D-Bus-Interprozesskommunikationskanals (IPC) aufgedeckt. Insbesondere identifizierten sie ein Verzeichnis-Traversal-Problem (CVE-2022-29799) sowie Symlink-Race- und Time-of-Check-to-Time-of-Use-Fehler (CVE-2022-29800), die miteinander verbunden werden könnten, um Root-Privilegien auf Linux-Systemen zu erlangen und Hintertüren in den kompromittierten Umgebungen auszuführen.
Um die potenziellen Bedrohungen durch Versuche der Ausnutzung von Nimbuspwn-Schwachstellen zu mindern, werden networkd-dispatcher-Benutzer aufgefordert, ihre Instanzen auf die neuesten Softwareversionen zu aktualisieren. Darüber hinaus sollten progressive Organisationen, die ihre Cyber-Sicherheitslage verbessern wollen, Maßnahmen ergreifen, um ihre Umgebungen kontinuierlich zu überwachen, da hohe Risiken durch neu entdeckte Schwachstellen auf Linux-Systemen bestehen.
Die Implementierung eines proaktiven Schwachstellenmanagement-Ansatzes kann Organisationen helfen, Bedrohungen und Exploits, die zuvor unbekannt waren, rechtzeitig zu erkennen und zu mindern. Die Nutzung der SOC Prime’s Detection as Code Plattform ermöglicht es Teams, Bedrohungen in den frühesten Phasen des Angriffszyklus zu erkennen und gleichzeitig die Fähigkeiten der Cyber-Abwehr kontinuierlich zu beschleunigen.
