Detección de CVE-2024-24576: Hackers explotan una vulnerabilidad de máxima severidad “BatBadBut” en Rust para atacar a usuarios de Windows
Tabla de contenidos:
Se ha descubierto una nueva vulnerabilidad de máxima severidad en la biblioteca estándar de Rust. Esta vulnerabilidad representa una seria amenaza para los usuarios de Windows al permitir posibles ataques de inyección de comandos. El fallo, rastreado como CVE-2024-24576, afecta específicamente situaciones en las que los archivos por lotes en Windows se ejecutan con argumentos no confiables. Con el código PoC ya publicado, la explotación exitosa de la vulnerabilidad identificada aumenta los riesgos de ataques en el mundo real.
Detectar Intentos de Explotación de CVE-2024-24576
La detección de explotación de vulnerabilidades ha permanecido entre los principales casos de uso de ciberseguridad en los últimos años debido a que el número de fallos emergentes crece exponencialmente. Para ayudar a los profesionales de seguridad a identificar posibles intentos de explotación a tiempo y defenderse proactivamente, SOC Prime Platform agrega más de 300K algoritmos de detección seleccionados acompañados de soluciones avanzadas para la caza de amenazas e ingeniería de detección. Nuestro feed global de reglas para las TTPs más recientes de los atacantes proporciona detecciones para las últimas amenazas con un SLA de 24 horas, asegurando que los expertos en seguridad estén preparados para resistir intrusiones a tiempo.
Para ayudar a los defensores cibernéticos a detectar la actividad maliciosa asociada con la explotación de CVE-2024-24576, el Mercado de Detección de Amenazas ofrece una regla Sigma seleccionada por nuestro perspicaz desarrollador de Threat Bounty Emir Erdogan:
La regla anterior ayuda a detectar ataques de inyección de comandos en Windows mediante el lenguaje de programación Rust a través de logs process_creation. La detección es compatible con más de 28 formatos de SIEM, EDR y Data Lake, y está mapeada al marco MITRE ATT&CK® v14.1. Además, la regla Sigma se enriquece con amplio intel de amenazas y metadatos para agilizar la investigación de amenazas.
¿Deseoso de desarrollar tus habilidades de ingeniería de detección y contribuir a la defensa cibernética colectiva mientras ganas dinero por tu aporte? Conviértete en miembro del Programa de Recompensas de Amenazas de SOC Prime para entrenar tus habilidades de codificación de detección, avanzar en tu carrera de ingeniería y mejorar tu CV mientras enriqueces la experiencia de la industria y obtienes beneficios financieros por tu aporte.
Para mejorar la eficiencia de la caza de amenazas y proteger la infraestructura organizativa, los defensores cibernéticos pueden sumergirse en toda la pila de detección dirigida a la detección de explotación de vulnerabilidades. Haz clic en el botón Explorar Detecciones a continuación y profundiza en las extensas colecciones de reglas Sigma enriquecidas con metadatos relevantes. Específicamente, las reglas están acompañadas de enlaces CTI, referencias ATT&CK, recomendaciones de triaje, cronogramas de ataques, y más.
Análisis de CVE-2024-24576
La biblioteca estándar de Rust incluye la API de Comando para ejecutar archivos por lotes de Windows entre sus funciones comunes. Un reciente consejo del Grupo de Trabajo de Respuesta de Seguridad de Rust destacó que la función carecía de un procesamiento robusto de entradas, lo que abre la puerta para una posible inyección de código durante la ejecución. Según un consejo, los atacantes pueden manipular potencialmente los argumentos proporcionados al proceso generado y ejecutar comandos de shell no autorizados al eludir el mecanismo de escape. Esta vulnerabilidad en Rust se identifica como CVE-2024-24576 y alcanza un nivel de severidad máximo (puntaje CVSS 10.0), particularmente en casos de uso al invocar archivos por lotes con las extensiones .bat y .cmd en Windows a través de la API de Comando.
CVE-2024-24576, apodado BatBadBut, fue desvelado y reportado por el investigador de seguridad RyotaK al CERT/CC. Notablemente, el fallo impacta a múltiples lenguajes de programación a menos que procesen correctamente los argumentos enviados al proceso por lotes de Windows. Ocurre cuando un lenguaje de programación envuelve la función CreateProcess en Windows e incorpora un mecanismo de escape para los argumentos del comando. La extensión completa del impacto de CVE-2024-24576 depende de cómo se implemente el lenguaje o módulo de programación vulnerable. Diferentes implementaciones pueden llevar a diversos grados de explotación y posibles riesgos de seguridad.
El impacto de CVE se extiende a todas las versiones de Rust anteriores a la 1.77.2 en dispositivos Windows, siempre y cuando el código o cualquier dependencia ejecute archivos por lotes con argumentos no confiables. Aún así, el fallo no afecta a otras plataformas o diferentes usos en Windows.
Como medidas de mitigación del CVE-2024-24576, el proveedor recomienda encarecidamente actualizar la biblioteca estándar a la versión 1.77.2 de Rust que incluye un parche para el fallo crítico. Como otra opción para minimizar los riesgos de explotación, CERT/CC en el aviso relacionado también recomienda implementar un escape adecuado y neutralización de datos para prevenir la posible ejecución de comandos en caso de que el entorno de ejecución de la aplicación del usuario carezca de un parche para esta vulnerabilidad.
Con el código PoC disponible públicamente en GitHub, los riesgos de la explotación de esta vulnerabilidad de Rust en la naturaleza están aumentando dramáticamente, lo que requiere una ultra-responsividad de los defensores. Regístrate en la plataforma SOC Prime para mantenerte continuamente actualizado sobre las CVEs críticas y las amenazas emergentes que más desafían a tu negocio mientras elevas tus defensas a escala.
