CVE-2022-30190 Erkennung: Updates zur Microsoft Windows RCE-Schwachstelle
Inhaltsverzeichnis:
Beginnen wir mit einem kurzen Überblick über die Entwicklungen im Zusammenhang mit der Windows Zero-Day-Schwachstelle (CVE-2022-30190), auch bekannt als Follina.
Im April 2022 warnte ein Forschungsteam unter dem Pseudonym CrazymanArmy Microsoft vor einer neuen Zero-Day-RCE-Schwachstelle in einem ihrer Produkte. Das Technologieunternehmen entschied sich zu diesem Zeitpunkt, das Problem nicht zu beheben. Am 27. Mai 2022 wurde diese RCE-Schwachstelle in Windows öffentlich bekannt gegeben, die dafür bekannt ist, Microsoft Support Diagnostic Tool (MSDT) zu betreffen, und begann in der Cybersicherheitsgemeinschaft Wellen zu schlagen. Ab dem 31. Mai 2022 wird diese Windows-Schwachstelle endlich anerkannt und verfolgt als CVE-2022-30190, wird jedoch von Microsoft noch nicht offiziell als Zero-Day bezeichnet.
Erkennung von CVE-2022-30190
Verfolgen Sie die Updates der Erkennungsinhalte im Zusammenhang mit CVE-2022-30190 (auch bekannt als Follina) im Threat Detection Marketplace-Repository der SOC Prime Platform. Mithilfe der Stärke der kollaborativen Cyberverteidigung hat das SOC Prime Team kürzlich eine Reihe von dedizierten Sigma-Regeln zur Erkennung von CVE-2022-30190 veröffentlicht:
Sigma-Regeln zur Erkennung von Ausnutzungsversuchen der Schwachstelle CVE-2022-30190
Klicken Sie auf den Erkennung anzeigen Button, um eine umfassende Liste relevanter Erkennungsinhalte im Zusammenhang mit der Zero-Day-Schwachstelle Follina zugreifen zu können, die entsprechend markiert sind. Ambitionierte und erfahrene Bedrohungsjäger können ihr Wissen und ihre Fähigkeiten im Bereich der Bedrohungserkennung herausfordern, indem sie am Threat Bounty Program teilnehmen.
Erkennung anzeigen Threat Bounty beitreten
CVE-2022-30190 Beschreibung
Am 30. Mai 2022 veröffentlichte Microsoft eine Empfehlung zu CVE-2022-30190, zusammen mit der Anleitung von ihrem Security Response Center, die vorübergehende Workarounds bietet, bis die Lösungen verfügbar sind.
Der Name dieser RCE-Schwachstelle, die MSDT betrifft, stammt aus dem Namen der ursprünglichen waffentauglichen Word-Musterdatei, die bei VirusTotal hochgeladen wurde und eine 0438 Nummerkombination enthielt. Ein Sicherheitsforscher Kevin Beaumont vergab den Namen Follina, da er die Nummer erkannte, da sie auch für eine Telefonvorwahl für die Gegend von Follina in Italien steht.
Derzeit gibt es keine Patches zur Behebung des Fehlers, sodass Gegner selbst die neuesten Office-Versionen ausnutzen können. Das betroffene Microsoft-Produkt, MSDT, ist leider ein großer und attraktiver Spielplatz für Bedrohungsakteure. Es wird daher dringend empfohlen, den Entwicklungen rund um CVE-2022-30190 Aufmerksamkeit zu schenken und Ihre Umgebung auf mögliche Ausnutzungsversuche zu überprüfen.
Für weitere Details zu dieser Schwachstelle, siehe die CVE-2022-30190-Analyse die am 30. Mai 2022 auf dem SOC Prime Blog veröffentlicht wurde.
Testen Sie die Streaming-Fähigkeiten der Inhalte und helfen Sie Ihrer Organisation dabei, tägliche SOC-Operationen mit von Sicherheitsleitern entwickelten Erkennungsinhalten zu stärken. Halten Sie den Finger am Puls des schnelllebigen Umfelds von Cybersicherheitsrisiken und erhalten Sie die besten Erkennungslösungen mit SOC Prime.
