CVE-2022-30333-Erkennung: Neue Sicherheitslücke im UnRAR-Dienstprogramm
Inhaltsverzeichnis:
Die US-Behörde für Sicherheitsinfrastruktur (CISA) erweitert ihren Katalog bekannter ausgenutzter Schwachstellen, indem sie mehrere neue, aktiv ausgenutzte Directory Traversal-Schwächen dokumentiert. Bei den fraglichen Fehlern handelt es sich um eine RCE-Schwachstelle, die als CVE-2022-34713 gekennzeichnet ist, und eine Path Traversal-Schwachstelle, die unter CVE-2022-30333 erfasst ist. Microsoft hat bestätigt, dass eine CVE-2022-34713-Schwachstelle eine Variante des Follina-ähnlichen DogWalk Path Traversal-Sicherheitslochs im Microsoft Windows Support Diagnostic Tool ist, das im Sommer dieses Jahres aufgedeckt wurde.
Eine weitere Schwachstelle mit der Kennung CVE-2022-30333 befindet sich in den Linux- und Unix-Versionen des UnRAR-Dienstprogramms. Angreifer nutzen die Schwachstelle aus, indem sie Opfer dazu verleiten, ein präpariertes RAR-Archiv zu öffnen.
Beide Schwachstellen mit hoher Schwere werden in freier Wildbahn ausgenutzt.
Erkennen Sie CVE-2022-30333
Um die möglichen Auswirkungen eines Sicherheitsvorfalls auf Ihre Organisation zu minimieren, verwenden Sie die folgende Sigma-Regel, die von einem Team erfahrener Threat Hunting Engineers von SOC Prime:
Diese Erkennung bietet Übersetzungen für die folgenden SIEM-, EDR- und XDR-Plattformen: Microsoft Sentinel, Chronicle Security, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, Microsoft Defender for Endpoint, CrowdStrike, FireEye, Carbon Black, LogPoint, Graylog, Regex Grep, RSA NetWitness, Snowflake, Apache Kafka ksqlDB, Securonix, AWS OpenSearch.
The Sigma-Regel oben ist mit dem MITRE ATT&CK®-Framework v.10 abgestimmt, das sich mit der Taktik Persistenz und der Technik Server Software-Komponente (T1505) befasst.
Nicht registrierte Benutzer können die Sammlung von Sigma-Regeln durchsuchen, die über eine Suchmaschine verfügbar ist – eine Anlaufstelle für Bedrohungsinformationen und SOC-Inhalte. Drücken Sie die Explore Threat Context Taste, um Ihre Erkennungsroutine auf die nächste Stufe zu heben.
SOC-Fachleute sind eingeladen, sich auf der SOC Prime-Plattform anzumelden und einen kostenlosen Community-Abonnementplan zu erhalten. Drücken Sie auf Detect & Hunt , um auf eine umfassende Sammlung von Erkennungsalgorithmen zuzugreifen, die mit über 26 SIEM-, EDR- und XDR-Lösungen abgestimmt sind.
Detect & Hunt Explore Threat Context
Beschreibung von CVE-2022-30333
Die Analyse des Problems CVE-2022-30333 erschien erstmals in der von SonarSource im Juni 2022 geteilten Forschung. Basierend auf den beobachteten Angriffen nutzen Angreifer diese File Write-Schwachstelle für RCE-Angriffe aus, um einen Zimbra-E-Mail-Server mit über 62.000 internetfähigen Hosts zu kompromittieren. Die Schwachstelle ermöglicht es einem Bedrohungsakteur, während eines Extraktionsvorgangs in Dateien zu schreiben. Bei einem erfolgreichen Ausbeutungsversuch erhält ein Bedrohungsakteur Zugriff auf alle auf einem kompromittierten E-Mail-Server gespeicherten E-Mails. Dieses Zugriffslevel führt mit hoher Wahrscheinlichkeit zu weiteren Ausbeutungen und dem Zugriff auf sensibleren Daten.
RarLab hat ein offizielles Patch veröffentlicht, um die Sicherheitslücke zu beheben. Der Fix ist in den Binärdateien der Version 6.12 (Open-Source-Version 6.1.7) enthalten, die von der offiziellen Website des Anbieters heruntergeladen werden können. Laut dem Anbieter bleiben alle WinRAR-Versionen von dieser Schwachstelle unberührt.
Registrieren Sie sich auf der SOC Prime-Plattform , um auf den umfangreichen Pool verifizierter Erkennungsalgorithmen mit Übersetzungen in mehr als 26 anbieterabhängige SIEM-, EDR- und XDR-Formate zuzugreifen. Eine genaue und zeitnahe Erkennung ist der Schlüssel zur Organisation eines effizienten SOC 24/7/365, während Ihre Ingenieure anspruchsvollere Aufgaben übernehmen können.
