Detección de CVE-2024-21378: Vulnerabilidad en Microsoft Outlook que Conduce a la Ejecución Remota de Código Autenticada
Tabla de contenidos:
A raíz de las desagradables vulnerabilidades de JetBrains TeamCity (CVE-2024-27198, CVE-2024-2719), los expertos en seguridad revelan una nueva RCE que afecta a Microsoft Outlook. Los adversarios autenticados podrían aprovechar el problema de seguridad para ejecutar código malicioso en la instancia afectada, logrando un control extenso sobre ella. Aunque Microsoft parcheó la vulnerabilidad en febrero de 2024, el proveedor la clasifica como “Exploitation More Likely”, especialmente en vista de una reciente publicación de prueba de concepto (PoC).
Detectar Intentos de Explotación de CVE-2024-21378
A la luz de que CVE-2024-21378 podría ser potencialmente armado para campañas en el campo, es vital que los defensores cibernéticos se defiendan proactivamente e identifiquen actividad sospechosa en las etapas más tempranas del desarrollo del ataque. La Plataforma SOC Prime agrega un conjunto de reglas Sigma seleccionadas para identificar actividad maliciosa vinculada a la explotación de vulnerabilidades de Microsoft Outlook.
Las reglas del Equipo de SOC Prime detectan operaciones relacionadas con un formulario de Outlook y un cambio de archivo en una ruta específica relacionada que podría usarse para colocar archivos DLL maliciosos. Todas las detecciones son compatibles con 28 tecnologías SIEM, EDR, XDR y Data Lake y están mapeadas al marco de MITRE ATT&CK v14.1 abordando la táctica de Evasión de Defensa, con Secuestro del Flujo de Ejecución (T1574) como técnica principal.
Los profesionales de seguridad que buscan formas de potenciar su resiliencia cibernética contra amenazas emergentes de cualquier escala, incluidas las CVEs en tendencia, podrían profundizar en toda la colección de algoritmos de detección que abordan la explotación de vulnerabilidades. Simplemente presione el botón Explorar Detecciones a continuación y profundice en la lista de reglas enriquecida con metadatos extensivos e inteligencia adaptada.
Análisis de CVE-2024-21378: Ejecución Remota de Código en Microsoft Outlook
En 2023, investigadores de NetSpi descubrieron una vulnerabilidad de ejecución remota de código que afecta a Microsoft Outlook. La falla registrada como CVE-2024-21378 permite a los hackers ejecutar código malicioso en el sistema afectado. Sin embargo, para explotar el problema, los actores de amenaza requieren autenticación con acceso LAN y un token de acceso válido para un usuario de Exchange. Además, un usuario objetivo es engañado para interactuar con un archivo diseñado para desencadenar pasos subsiguientes del ataque.
Notablemente, la explotación se basa en el vector de ataque descrito por Etienne Stalmans en SensePost en 2017. Este método aprovecha el código VBScript dentro de los objetos de formulario de Outlook para alcanzar RCE con acceso al buzón de correo. Aunque Microsoft ha abordado el problema con parches relevantes, la función de sincronización vulnerable de los objetos de formulario nunca se ha alterado, lo que resultó en que la brecha de seguridad de Outlook se destaque.
La falla se informó a Microsoft en 2023, y el proveedor la parcheó en todas las versiones compatibles de Outlook el 13 de febrero de 2024. El 11 de marzo, los investigadores de NetSpi compartieron un resumen de la falla, incluidos detalles sobre el código PoC relacionado.
Con los detalles del CVE-2024-21378 accesibles públicamente en la web, el riesgo de posible explotación está creciendo, lo que impulsa una ultra-responsividad de los defensores. Aprovechando el Inspector de Ataques de SOC Prime, los ingenieros de seguridad pueden elevar la postura de ciberseguridad de la organización identificando a tiempo los puntos ciegos de defensa cibernética, identificando correctamente los datos a recopilar para abordar estas brechas y optimizando el ROI de SIEM, y priorizando los procedimientos de detección antes de que los adversarios tengan la oportunidad de atacar.
