CVE-2024-24576 Erkennung: Hacker nutzen eine höchst kritische „BatBadBut“ Rust-Schwachstelle, um Windows-Nutzer anzugreifen
Inhaltsverzeichnis:
Eine neue Schwachstelle mit maximaler Schwere wurde in der Rust-Standardbibliothek entdeckt. Diese Schwachstelle stellt eine ernsthafte Bedrohung für Windows-Nutzer dar, da sie potenzielle Command-Injection-Angriffe ermöglicht. Der als CVE-2024-24576 verfolgte Fehler betrifft speziell Situationen, in denen Batch-Dateien auf Windows mit nicht vertrauenswürdigen Argumenten ausgeführt werden. Da der PoC-Code bereits öffentlich verfügbar ist, erhöht erfolgreiche Ausnutzung der identifizierten Schwachstelle die Risiken von Angriffen in freier Wildbahn.
Entdeckung von CVE-2024-24576-Ausnutzungsversuchen
Die Entdeckung der Ausnutzung von Schwachstellen gehörte in den letzten Jahren zu den wichtigsten Anwendungsfällen in der Cybersicherheit, da die Zahl der entstehenden Schwachstellen exponentiell wächst. Um Sicherheitsprofis bei der rechtzeitigen Erkennung potenzieller Ausnutzungsversuche zu unterstützen und proaktiv zu verteidigen, aggregiert die SOC Prime Plattform über 300.000 kuratierte Erkennungsalgorithmen, die von fortschrittlichen Lösungen für die Bedrohungssuche und Detektionstechnik begleitet werden. Unser globales Regel-Feed für die neuesten TTPs von Angreifern bietet Erkennungen für die neuesten Bedrohungen mit einem 24-Stunden-SLA und stellt sicher, dass Sicherheitsexperten rechtzeitig gerüstet sind, um Eindringlinge abzuwehren.
Um Cyber-Verteidiger bei der Erkennung bösartiger Aktivitäten im Zusammenhang mit der Ausnutzung von CVE-2024-24576 zu unterstützen, bietet der Threat Detection Marketplace eine kuratierte Sigma-Regel von unserem engagierten Threat Bounty-Entwickler an Emir Erdogan:
Die obige Regel hilft, Windows-Command-Injection-Angriffe über die Rust-Programmiersprache anhand von Prozess-Erstellungsprotokollen zu erkennen. Die Erkennung ist kompatibel mit über 28 SIEM-, EDR- und Data-Lake-Formaten und zugeordnet zu dem MITRE ATT&CK®-Framework v14.1. Zusätzlich ist die Sigma-Regel mit umfangreichen Bedrohungsinformationen und Metadaten angereichert, um die Bedrohungsuntersuchung zu erleichtern.
Möchten Sie Ihre Fähigkeiten in der Detektionstechnik entwickeln und zur kollektiven Cyber-Verteidigung beitragen, während Sie Geld für Ihren Beitrag verdienen? Werden Sie Mitglied des Threat Bounty Program , um Ihre Fähigkeiten im Detektionscoding zu trainieren, Ihre Ingenieurkarriere voranzutreiben, und Ihren Lebenslauf mit fortschrittlichen Fachkenntnissen und finanziellen Vorteilen zu bereichern.
Um die Effizienz der Bedrohungssuche zu steigern und die organisatorische Infrastruktur zu sichern, können Cyber-Verteidiger in den gesamten Erkennungs-Stack eintauchen, der auf die Erkennung von Schwachstellenausnutzungen abzielt. Klicken Sie auf den Detektionen erkunden Button unten und tauchen Sie in die umfangreichen Sammlungen von Sigma-Regeln ein, die mit relevanten Metadaten angereichert sind. Insbesondere werden Regeln von CTI-Links, ATT&CK-Verweisen, Triage-Empfehlungen, Angriffschronologien und mehr begleitet.
Analyse von CVE-2024-24576
Die Rust-Standardbibliothek enthält die Command-API zur Ausführung von Windows-Batch-Dateien als eine ihrer gängigen Funktionen. Ein aktuelles Advisory der Rust Security Response Working Group hervorgehoben, dass der Funktion eine robuste Eingabeverarbeitung fehlte, wodurch potenzieller Code-Injection während der Ausführung möglich ist. Laut einem Advisory können Angreifer potenziell die an den gestarteten Prozess übergebenen Argumente manipulieren und nicht autorisierte Shell-Befehle ausführen, indem sie das Escape-Mechanismus umgehen. Diese Rust-Schwachstelle ist als CVE-2024-24576identifiziert und erreicht ein Maximum an Schweregrad (CVSS-Wert 10.0), insbesondere in Anwendungsfällen, in denen Batch-Dateien mit den Endungen .bat und .cmd auf Windows über die Command-API aufgerufen werden.
CVE-2024-24576, genannt BatBadBut, wurde von dem Sicherheitsforscher RyotaK an das CERT/CC gemeldet. Bemerkenswerterweise betrifft der Fehler mehrere Programmiersprachen, es sei denn, sie parsen die an den Windows-Batch-Prozess gesendeten Argumente korrekt. Es tritt auf, wenn eine Programmiersprache die CreateProcess-Funktion in Windows umschließt und einen Escape-Mechanismus für die Befehlsargumente integriert. Das volle Ausmaß des Einflusses von CVE-2024-24576 hängt davon ab, wie die verwundbare Programmiersprache oder das Modul implementiert wird. Unterschiedliche Implementierungen können zu unterschiedlichen Graden der Ausnutzung und potenziellen Sicherheitsrisiken führen.
Die Auswirkungen von CVE erstrecken sich auf alle Rust-Versionen vor 1.77.2 auf Windows-Geräten, vorausgesetzt, dass Code oder Abhängigkeiten Batch-Dateien mit nicht vertrauenswürdigen Argumenten ausführen. Dennoch sind andere Plattformen oder verschiedene Anwendungen auf Windows nicht betroffen.
Als CVE-2024-24576-Mitigationsmaßnahmen empfiehlt der Anbieter dringend, die Standardbibliothek auf die Rust-Version 1.77.2 zu aktualisieren, die einen Patch für den kritischen Fehler enthält. Eine weitere Möglichkeit zur Minimierung der Ausnutzungsrisiken ist, dass CERT/CC in der zugehörigen Beraterempfehlung auch empfiehlt, korrektes Escaping und Datenneutralisierung zu implementieren, um potenzielle Befehlsausführung zu verhindern, falls der Laufzeit der Benutzeranwendung kein Patch für diese Schwachstelle fehlt.
Mit dem PoC-Code öffentlicht auf GitHub, steigen die Risiken der Ausnutzung dieser Rust-Schwachstelle in freier Wildbahn dramatisch an, was von Verteidigern eine maximale Reaktionsfähigkeit erfordert. Melden Sie sich bei der SOC Prime Plattform an , um kontinuierlich über kritische CVEs und neue Bedrohungen informiert zu bleiben, die Ihr Geschäft am meisten herausfordern, und gleichzeitig Ihre Verteidigungen im großen Maßstab zu stärken.
