Follina-Schwachstellen-Erkennung: Neuer Microsoft Office Zero-Day in freier Wildbahn ausgenutzt
Inhaltsverzeichnis:
Cybersecurity-Forscher lenken den Fokus auf eine neuartige Zero-Day-Schwachstelle in Microsoft Office, die in freier Wildbahn beobachtet wurde. Am 27. Mai wurde der Follina Zero-Day-Fehler erstmals dokumentiert und gemeldet, dass er aus Belarus eingereicht wurde. Laut der Forschung kann die neu entdeckte Zero-Day-Schwachstelle in Microsoft Office zur willkürlichen Codeausführung auf kompromittierten Windows-Geräten führen.
Erkennung von Follina-Schwachstellen-Ausnutzungsversuchen
Um es Cybersecurity-Praktikern zu ermöglichen, Follina Zero-Day-Ausnutzungsversuche zu erkennen, hat das SOC Prime Team eine Reihe von dedizierten Sigma-Regeln veröffentlicht, die auf der Detection as Code-Plattform verfügbar und entsprechend gekennzeichnet sind. Um auf dieses Regelkit zuzugreifen, stellen Sie sicher, dass Sie sich mit Ihren vorhandenen Anmeldeinformationen auf der SOC Prime-Plattform anmelden oder ein Konto erstellen:
Alle Erkennungen sind mit mehreren Sicherheitslösungen kompatibel, die von der SOC Prime-Plattform unterstützt werden, und sind mit dem MITRE ATT&CK® Framework für verbesserte Bedrohungswahrnehmbarkeit abgestimmt, wobei die Defense Evasion-Taktik mit der Template Injection (T1221) als primäre Technik adressiert wird.
Teams können auch von einer weiteren Sigma-Regel profitieren, die zusätzlich dabei helfen kann, die Spuren dieses neuesten Cyberangriffs im Zusammenhang mit der Follina-Schwachstellenausnutzung zu identifizieren:
Die obengenannte Sigma-Regel kann über 23 SIEM-, EDR- und XDR-Lösungen hinweg verwendet werden und adressiert die Technik der Signierten Binärdatei-Proxy-Ausführung (T1218) aus dem Defense Evasion-Taktikbestand basierend auf dem MITRE ATT&CK-Framework.
Klicken Sie auf die Erkennungen anzeigen Schaltfläche, um die umfassende Sammlung von Erkennungsalgorithmen zu erreichen, die Teams ermöglichen, kontinuierlich über aufkommende Bedrohungen informiert zu bleiben. Cybersecurity-Forscher und Threat Hunters, die nach neuen Wegen suchen, ihre beruflichen Fähigkeiten zu verbessern und gleichzeitig zur kollaborativen Expertise beizutragen, sind eingeladen, sich unserem Threat Bounty Program anzuschließen. Durch die Teilnahme an dieser Crowdsourcing-Initiative erhalten Cybersecurity-Profis die Möglichkeit, ihre Erkennungsinhalte zu monetarisieren und gleichzeitig zu einer zukunftssicheren Cyberabwehr beizutragen.
Erkennungen anzeigen Am Threat-Bounty-Programm teilnehmen
Follina-Schwachstellenanalyse
Unmittelbar nach der kritischen RCE-Schwachstelle in Microsoft SharePoint Server, die als CVE-2022-29108verfolgt wird, rückt ein weiterer Fehler, der Microsoft-Produkte betrifft, ins Rampenlicht. Die neuartige Microsoft Office Zero-Day-Schwachstelle mit dem Namen Follina taucht in der Cyber-Bedrohungslandschaft auf, als das japanische Cybersecurity-Forschungsteam nao_sec eine bösartige Word-Datei entdeckte, die von einer belarussischen IP-Adresse zu VirusTotal hochgeladen wurde. Dieses Word-Dokument löst eine Infektionskette aus, indem es eine HTML-Datei aus einer entfernten Vorlage lädt und führt schließlich zur Ausführung des bösartigen PowerShell-Codes, um das System zu infizieren.
Was das Problem verschärft, ist, dass Microsoft Word den bösartigen Code über das Microsoft Support Diagnostics Tool ausführt, selbst bei deaktivierten Makros. Darüber hinaus konnte Microsoft Defender for Endpoint den Fehler laut der Forschung von Kevin Beaumont nicht erkennen, der dieser neuen Codeausführungsschwachstelle in Microsoft Office einen Namen gab. Der Fehler betrifft mehrere Office-Versionen, wie 2013 und 2016, einschließlich der gepatchten 2021er Version und möglicherweise andere Versionen. Um schnell auf eine Bedrohung zu reagieren, veröffentlichen Cyberverteidiger Follina-Schwachstellen-POC-Codebeispiele, die dabei helfen, die Exposition zu identifizieren und bereits öffentlich verfügbar sind, zum Beispiel auf GitHub.
Da die Schwachstelle ungeschützt ist und in freier Wildbahn ausgenutzt wird, sind sofortige Maßnahmen von Sicherheitsanbietern erforderlich. Als eine der empfohlenen Maßnahmen zur Minderung der Follina-Schwachstelle wird Office-Benutzern empfohlen, die MS-Protokoll-URI-Schemata in Outlook-E-Mails anzuwenden.
Fortschrittliche Sicherheitsleiter suchen ständig nach zukunftssicheren und kosteneffizienten Lösungen, um die Cyberabwehrfähigkeiten zu beschleunigen und die Cybersecurity-Position der Organisation zu erhöhen. Die Nutzung der SOC Prime Detection as Code-Plattform hilft Teams dabei, mehr Wert aus ihren SIEM- und XDR-Investitionen zu ziehen und die Cybersecurity-Wirksamkeit erheblich zu erhöhen.
