CVE-2024-21378-Erkennung: Sicherheitslücke in Microsoft Outlook führt zu authentifizierter Remote-Code-Ausführung
Inhaltsverzeichnis:
Dicht auf den Fersen von fiesen JetBrains TeamCity-Schwachstellen (CVE-2024-27198, CVE-2024-2719), enthüllen Sicherheitsexperten eine neue RCE, die Microsoft Outlook betrifft. Authentifizierte Angreifer könnten das Sicherheitsproblem ausnutzen, um schädlichen Code auf der betroffenen Instanz auszuführen und so umfassende Kontrolle darüber zu erlangen. Obwohl die Schwachstelle von Microsoft im Februar 2024 gepatcht wurde, stuft der Anbieter sie als „Exploitation More Likely“ ein, insbesondere angesichts eines kürzlich veröffentlichten Proof-of-Concept (PoC).
Erkennen von CVE-2024-21378-Ausnutzungsversuchen
Angesichts der Möglichkeit, dass CVE-2024-21378 für in-the-wild-Kampagnen eingesetzt wird, ist es für Cyberabwehrteams entscheidend, proaktiv zu agieren und verdächtige Aktivitäten in den frühestmöglichen Phasen der Angriffsentwicklung zu erkennen. Die SOC Prime Plattform aggregiert ein Set kuratierter Sigma-Regeln, um bösartige Aktivitäten im Zusammenhang mit der Ausnutzung der Microsoft Outlook-Schwachstelle zu identifizieren.
Die Regeln des SOC Prime-Teams erkennen Vorgänge im Zusammenhang mit einem Outlook-Formular und einer Dateiänderung in einem bestimmten Pfad, der dazu verwendet werden könnte, bösartige DLL-Dateien zu platzieren. Alle Erkennungen sind mit 28 SIEM-, EDR-, XDR- und Data Lake-Technologien kompatibel und sind auf das MITRE ATT&CK-Framework v14.1 abgebildet, das die Taktik der Verteidigungsevasion anspricht, mit Hijack Execution Flow (T1574) als Haupttechnik.
Sicherheitsfachleute, die nach Möglichkeiten suchen, ihre Cyber-Resilienz gegen aufkommende Bedrohungen jeglicher Größe, einschließlich aktueller CVEs, zu stärken, könnten sich in die gesamte Sammlung von Erkennungsalgorithmen zur Adressierung von Schwachstellenausnutzungen vertiefen. Einfach den Detektionen erkunden Button unten anklicken und zur Regelnliste mit umfangreichen Metadaten und maßgeschneiderter Intelligenz durchklicken.
Analyse von CVE-2024-21378: Remote Code Execution in Microsoft Outlook
Bereits 2023 entdeckten Forscher bei NetSpi eine authentifizierte Remote-Code-Ausführungs-Schwachstelle, die Microsoft Outlook betrifft. Der als CVE-2024-21378 verfolgte Fehler ermöglicht Hackern die Ausführung von schädlichem Code auf dem betroffenen System. Um das Problem auszunutzen, benötigen Bedrohungsakteure jedoch eine Authentifizierung mit LAN-Zugang und ein gültiges Zugriffstoken für einen Exchange-Benutzer. Darüber hinaus wird ein gezielter Benutzer dazu gebracht, mit einer präparierten Datei zu interagieren, um nachfolgende Angriffsphasen einzuleiten.
Bemerkenswert ist, dass die Ausnutzung auf dem Angriffsvektor basiert, der von Etienne Stalmans bei SensePost im Jahr 2017 beschrieben wurde. Diese Methode nutzt VBScript-Code innerhalb von Outlook-Formularobjekten, um RCE mit Zugriff auf das Postfach zu erreichen. Obwohl Microsoft das Problem mit entsprechenden Patches behoben hat, wurde die anfällige Synchronisationsfunktion der Formularobjekte nie geändert, was zu dieser Sicherheitslücke von Outlook führte.
Das Problem wurde 2023 an Microsoft gemeldet und vom Anbieter in allen unterstützten Outlook-Versionen am 13. Februar 2024 gepatcht. Am 11. März it in all supported Outlook versions on February 13, 2024. On March 11, teilten die NetSpi-Forscher einen Überblick über die Schwachstelle, einschließlich Details zum zugehörigen PoC-Code.
Da die Details der CVE-2024-21378 öffentlich im Internet zugänglich sind, wächst das Risiko einer potenziellen Ausnutzung, was ultra-schnelle Reaktionen von Verteidigern fördert. Mit Hilfe von SOC Primes Attack Detective, können Sicherheitsingenieure die Cybersicherheitslage des Unternehmens verbessern, indem sie rechtzeitig blinde Flecken in der Cyberabwehr identifizieren, die richtigen Daten sammeln, um diese Lücken zu schließen, und die Priorisierung von Erkennungsverfahren sicherstellen, bevor Angreifer zuschlagen können.
