Erkennung von Ausnutzungsversuchen für CVE-2023-28252 & CVE-2023-21554: Windows Zero-Day aktiv in Ransomware-Angriffen eingesetzt und ein kritischer RCE-Fehler
Inhaltsverzeichnis:
Mit einer zunehmenden Anzahl von Zero-Day-Schwachstellen, die weit verbreitete Softwareprodukte betreffen, ist die proaktive Erkennung der Ausnutzung von Schwachstellen eine der häufigsten Sicherheitsanwendungsfälle seit 2021.
Microsoft hat kürzlich eine Reihe von Sicherheitsupdates herausgegeben, die sich auf kritische Schwachstellen in ihren Produkten beziehen, darunter einen Patch für eine Zero-Day-Schwachstelle, die aktiv in freier Wildbahn ausgenutzt wird und als CVE-2023-28252-Schwachstelle verfolgt wird. Letztere ist eine Schwachstelle zur Privilegieneskalation im Windows Common Log File System (CLFS) Treiber mit einem CVSS-Score von 7.8.
Ein weiterer Sicherheitsfehler, der die Aufmerksamkeit von Cyber-Verteidigern auf sich zieht, ist eine RCE-Schwachstelle im Microsoft Message Queuing (MSMQ) Dienst, die als CVE-2023-21554 verfolgt wird und einen CVSS-Score von 9.8 aufweist.
Angesichts der aktiven Ausnutzung von Schwachstellen am 11. April 2023, hat CISA eine Warnung herausgegeben und die Branchenkollegen darüber informiert, dass die Windows Zero-Day-Schwachstelle CVE-2023-28252 in ihren Katalog der bekannten ausgenutzten Schwachstellen aufgenommen wurde, um das Bewusstsein für Cybersicherheit zu erhöhen.
Erkennung von CVE-2023-28252 & CVE-2023-21554
Angesichts der Tatsache, dass Microsoft im zweiten Monat in Folge Zero-Day-Schwachstellen in seinen Hauptprodukten behebt, benötigen Sicherheitspraktiker eine zuverlässige Quelle für Erkennungsinhalte, um proaktiv die Infrastruktur ihrer Organisation zu identifizieren und zu sichern.
SOC Prime’s Detection as Code Plattformen bieten ein Paket kuratierter Sigma-Regeln, die auf den Exploit-Nachweis von CVE-2023-28252 und CVE-2023-21554 abzielen. Vertiefen Sie sich in die Erkennungen, begleitet von CTI-Links, MITRE ATT&CK® Referenzen und anderen relevanten Metadaten, indem Sie die untenstehenden Links folgen.
Sigma-Regel zur Erkennung von CVE-2023-28252-Ausnutzungsmustern
Die Regel ist mit 21 SIEM-, EDR- und XDR-Plattformen kompatibel und richtet sich nach dem MITRE ATT&CK-Framework v12 und adressiert den Initial Access mit der Technik Exploit Public-Facing Application (T1190).
Sigma-Regeln zur Erkennung von CVE-2023-21554-Ausnutzungsversuchen
Die Regeln unterstützen 20+ SIEM-, EDR- und XDR-Formatsprachen und adressieren die Taktiken Initial Access und Lateral Movement mit den Techniken Exploit Public-Facing Application (T1190) und Exploitation of Remote Services (T1210).
Durch Klicken auf die Erkennung erkunden Schaltfläche können Organisationen sofort auf noch mehr Erkennungsalgorithmen zugreifen, die darauf abzielen, bösartiges Verhalten zu identifizieren, das mit der Ausnutzung von trendigen Schwachstellen verbunden ist.
Analyse von CVE-2023-21554 und CVE-2023-28252
CISA hat kürzlich eine neue Warnung herausgegeben und die Cyberverteidiger über die eskalierenden Risiken im Zusammenhang mit der Ausnutzung einer bekannten Windows Common Log File System CVE-2023-28252 Schwachstelle informiert, die in Ransomware-Angriffen genutzt wird und eine potenzielle Bedrohung für Bundesunternehmen darstellt. Diese aktiv ausgenutzte Zero-Day-Schwachstelle, die von Bedrohungsakteuren genutzt wird, um Privilegien zu eskalieren und Nokoyawa Ransomware-Payloads zu verbreiten, wurde kürzlich von Microsoft behoben. CVE-2023-28252 wurde ein CVSSv3-Score von 7.8 zugewiesen.
Eine weitere kürzlich aufgedeckte und behobene Schwachstelle in Microsofts April 2023 Sicherheitsupdates, verfolgt als CVE-2023-21554 mit einem CVSS-Score von 9.8, wurde vom Check Point CybersicherheitsforschernQueueJumper genannt. Dieser Sicherheitsfehler ist eine kritische RCE-Schwachstelle im MSMQ-Dienst, die es unbefugten Benutzern ermöglicht, beliebigen Code im Windows-Dienstprozess auszuführen mqsvc.exe. Angreifer können die Kontrolle über den Prozess erlangen, indem sie die TCP-Port 1801 durch Schwachstellenausnutzung missbrauchen.
Als potenzielle Minderungsmaßnahmen empfehlen Cyber-Verteidiger, Microsofts offizielle Patches für CVE-2023-28252 and CVE-2023-21554umgehend zu installieren. Darüber hinaus sollten Kunden, die die möglicherweise betroffenen Microsoft-Produkte nutzen, die Verfügbarkeit des MSMQ-Dienstes für Windows-Server und -Clients prüfen und ihn möglicherweise deaktivieren, um unnötige Angriffsflächen zu reduzieren.
Verlassen Sie sich auf SOC Prime, um vollständig mit Erkennungsinhalten für jede ausnutzbare CVE und jede TTP, die in Cyberangriffen verwendet wird, ausgestattet zu sein. Greifen Sie auf über 800 Regeln für neu auftretende und etablierte Schwachstellen zu, um bösartiges Verhalten sofort zu identifizieren und die Bedrohungen rechtzeitig zu beheben. Erhalten Sie 140+ Sigma-Regeln kostenlos oder erreichen Sie die gesamte Liste der relevanten Erkennungsalgorithmen, indem Sie das On Demand-Abonnement wählen, das auf Ihre Sicherheitsanforderungen zugeschnitten ist unter https://my.socprime.com/pricing/.
