Erkennung von CVE-2022-21907: Eine wurmfähige RCE in Windows Server
Inhaltsverzeichnis:
Ein weiterer Tag, eine weitere kritische Schwachstelle, die für Sicherheitsexperten ein großes Kopfzerbrechen darstellt. Diesmal haben Forscher eine wurmfähige Remote-Code-Ausführungs-Schwachstelle (RCE) identifiziert, die die neuesten Desktop- und Server-Versionen von Windows betrifft. Der Anbieter drängt darauf, die Systeme umgehend zu aktualisieren, da diese Schwachstelle von Angreifern leicht ausgenutzt werden könnte, um beliebigen Code auf den betroffenen Instanzen auszuführen.
CVE-2022-21907 Exploit
Der Fehler befindet sich im HTTP-Protokollstapel, einer entscheidenden Komponente, die von Windows Internet Information Services Webserver verwendet wird, um Webseiten zu hosten. Durch den Missbrauch der HTTP-Trailer-Support-Funktion können unbefugte Hacker speziell gestaltete Pakete an den Server senden, wobei der HTTP-Protokollstapel (http.sys) zum Verarbeiten der Pakete verwendet wird, um das System dazu zu bringen, den bösartigen Code in ihrem Namen auszuführen. Bemerkenswerterweise ist keine Benutzerinteraktion erforderlich, um den Eindringversuch durchzuführen.
Angesichts seines CVSS-Werts von 9,8, der wurmfähigen Natur der Sicherheitslücke und der geringen Komplexität des Angriffsablaufs drängt Microsoft darauf, die Schwachstelle ohne Verzögerung zu beheben. Laut Bericht des Anbieters Advisory, wurden die Windows-Server-Versionen 2019, 20H2 und 2022 zusammen mit den Desktop-Versionen 10 und 11 als betroffen identifiziert.
Obwohl bisher keine Exploits in freier Wildbahn beobachtet wurden, ist es nur eine Frage der Zeit, bis Angreifer Exploits für CVE-2022-21907 waffenfähig machen. Die öffentlichen PoC-Exploits für diese Schwachstelle wurden bereits veröffentlicht. Dennoch diskutieren Sicherheitsexperten, ob die verfügbaren PoCs vollständig für Angriffe in freier Wildbahn anwendbar sind.
CVE-2022-21907 Erkennung
Die Schwachstelle wurde von Microsoft mit seinem jüngsten Patch Tuesday-Release am 11. Januar 2022 behoben. Darüber hinaus stehen für Windows Server 2019 und Windows 10 Version 1809 Mitigations zur Verfügung, da der anfällige Code standardmäßig nicht geladen wird, sondern nur, wenn ein bestimmter Registrierungsschlüssel gesetzt wurde. Benutzer müssen lediglich die HTTP-Trailer-Support-Funktion deaktivieren, um sicher zu bleiben.
Um Ihre Abwehr gegen diese wurmfähige RCE in Windows Server zu stärken und mögliche Angriffe auf Ihre Infrastruktur zu erkennen, können Sie die kostenlose Sigma-Regel verwenden, die auf der Detection as Code-Plattform von SOC Prime verfügbar ist.
Die folgenden Regeln ermöglichen das Erkennen der bösartigen Aktivität, die mit den öffentlich veröffentlichten PoC-Exploits für CVE-2022-21907 verbunden ist. In Anbetracht einer aktuellen Diskussion, ob die veröffentlichten PoCs gültig sind, ist das SOC Prime Team bereit, relevante Updates an den bestehenden Regeln vorzunehmen und neue zu erstellen, sobald offizielle Erklärungen aus vertrauenswürdigen Quellen vorliegen.
Mögliche Microsoft HTTP-Protokollstapel-Schwachstellen-Ausnutzung [CVE-2022-21907] (via web)
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- & XDR-Plattformen: Azure Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix und AWS OpenSearch.
Die Regel ist mit dem neuesten MITRE ATT&CK®-Framework v.10 abgestimmt, das die Taktik des anfänglichen Zugriffs mit Exploit Public-Facing Application als Haupttechnik (T1190) adressiert.
Mögliche HTTP-Trailer-Support-Aktivierung oder Statusüberprüfung [CVE-2022-21907] (via cmdline)
Diese Erkennung hat Übersetzungen für die folgenden SIEM-, EDR- & XDR-Plattformen: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix und Open Distro.
Die Regel ist mit dem neuesten MITRE ATT&CK®-Framework v.10 abgestimmt, das die Taktiken Ausführung und Entdeckung mit Command and Scripting Interpreter (T1059) und Query Registry (T1012) als Haupttechniken adressiert.
Treten Sie der Detection as Code-Plattform von SOC Prime kostenlos bei, um nach den neuesten Bedrohungen in Ihrer SIEM- oder XDR-Umgebung zu suchen, Ihre Bedrohungsabdeckung zu verbessern, indem Sie die relevantesten Inhalte ansteuern, die mit der MITRE ATT&CK-Matrix übereinstimmen, und insgesamt die Cyber-Verteidigungsfähigkeiten der Organisation zu steigern. Sicherheitsexperten sind ebenfalls willkommen, unserem Threat Bounty-Programm beizutreten, um ihre eigenen Erkennungsinhalte zu monetarisieren.
