Detección de CVE-2022-30190: Actualizaciones sobre la Vulnerabilidad de RCE en Microsoft Windows
Tabla de contenidos:
Comencemos con un breve resumen de los desarrollos respecto a la vulnerabilidad de día cero de Windows (CVE-2022-30190), también conocida como Follina.
En abril de 2022, un equipo de investigación conocido bajo el seudónimo CrazymanArmy advirtió a Microsoft sobre una nueva vulnerabilidad RCE de día cero en uno de sus productos. La corporación tecnológica optó por no abordar el problema en ese momento. El 27 de mayo de 2022, esta vulnerabilidad RCE en Windows se divulgó públicamente, se sabe que afecta a Microsoft Support Diagnostic Tool (MSDT), comenzando a generar impacto en la comunidad de ciberseguridad. Al 31 de mayo de 2022, esta vulnerabilidad de Windows finalmente se reconoce y se rastrea como CVE-2022-30190, sin embargo, Microsoft aún no la ha considerado oficialmente como un día cero.
Detectar CVE-2022-30190
Siga las actualizaciones del contenido de detección relacionado con CVE-2022-30190 (también conocido como Follina) en el repositorio de Threat Detection Marketplace de la plataforma SOC Prime. Aprovechando el poder de la defensa cibernética colaborativa, el equipo de SOC Prime ha lanzado recientemente un conjunto de reglas Sigma dedicadas para la detección de CVE-2022-30190:
Reglas Sigma para detectar intentos de explotación de la vulnerabilidad CVE-2022-30190
Presione el botón de Ver Detecciones para acceder a una lista exhaustiva de contenido de detección relevante asociado con la vulnerabilidad de día cero Follina y etiquetado en consecuencia. Los cazadores de amenazas tanto novatos como experimentados pueden desafiar sus conocimientos y habilidades en el área de detección de amenazas uniéndose al Programa Threat Bounty.
Ver Detecciones Unirse a Threat Bounty
Descripción de CVE-2022-30190
El 30 de mayo de 2022, Microsoft lanzó un aviso sobre CVE-2022-30190, junto con la guía de su Centro de Respuesta de Seguridad, ofreciendo soluciones temporales hasta que se publiquen las correcciones.
El seudónimo de esta vulnerabilidad RCE, que afecta a MSDT, proviene del nombre de la muestra de Word armada original subida a VirusTotal, que incluía una combinación de números 0438 . Un investigador de seguridad Kevin Beaumont asignó el nombre Follina al reconocer el número, ya que también es el código de área para el comune Follina en Italia.
Por el momento, no hay parches para solucionar el problema, por lo que los adversarios pueden explotar incluso las versiones más recientes de Office. El producto de Microsoft afectado, MSDT, es, desafortunadamente, un gran y atractivo campo de juego para los actores de amenazas, por lo que se recomienda encarecidamente mantenerse al tanto de los desarrollos de CVE-2022-30190 y escanear su entorno para posibles intentos de explotación.
Para más detalles sobre esta vulnerabilidad, refiérase al análisis de CVE-2022-30190 publicado en el blog de SOC Prime el 30 de mayo de 2022.
Pruebe las capacidades de transmisión de contenido y ayude a su organización a potenciar las operaciones diarias de SOC con contenido de detección desarrollado por líderes de seguridad. Manténgase al tanto del entorno acelerado de riesgos de ciberseguridad y obtenga las mejores soluciones de detección con SOC Prime.
