Detectar CVE-2022-21907: Una RCE Gusano en Windows Server
Tabla de contenidos:
Otro dĂa, otra vulnerabilidad crĂtica que representa un gran dolor de cabeza para los profesionales de la seguridad. Esta vez, los investigadores han identificado un fallo de ejecuciĂłn de cĂłdigo remoto (RCE) tipo gusano que afecta a las Ăşltimas versiones de escritorio y servidor de Windows. El proveedor insta a todos a actualizar sus sistemas lo antes posible, ya que los adversarios podrĂan aprovechar fácilmente el fallo para ejecutar cĂłdigo arbitrario en las instancias afectadas.
ExplotaciĂłn de CVE-2022-21907
El error reside en el HTTP Protocol Stack, un componente crucial utilizado por el servidor web Windows Internet Information Services para alojar páginas web. Al abusar de la función de Soporte de HTTP Trailer, los piratas informáticos no autorizados pueden enviar paquetes especialmente diseñados al servidor utilizando el HTTP Protocol Stack (http.sys) para procesar paquetes y engañar al sistema para que ejecute el código malicioso en su nombre. Notablemente, no se requiere interacción del usuario para proceder con la intrusión.
Dada su puntuaciĂłn CVSS de 9.8, la naturaleza propagable del agujero de seguridad y la baja complejidad de la rutina de ataque, Microsoft insta a parchear la vulnerabilidad sin demora. SegĂşn lo reportado por el aviso, se encontrĂł que las versiones de Windows Server 2019, 20H2 y 2022 junto con las versiones de escritorio 10 y 11 estaban afectadas.
Aunque no se han observado explotaciones en su medio natural hasta la fecha, es solo cuestión de tiempo antes de que los adversarios armen explotaciones para CVE-2022-21907. Ya se han publicado las pruebas de concepto (PoC) públicas para esta vulnerabilidad. Sin embargo, los investigadores de seguridad están debatiendo si las PoCs disponibles son totalmente aplicables para los ataques en su medio natural.
DetecciĂłn de CVE-2022-21907
La vulnerabilidad fue parcheada por Microsoft con su último lanzamiento de Patch Tuesday el 11 de enero de 2022. Además, para Windows Server 2019 y Windows 10 versión 1809, hay mitigaciones disponibles ya que el código vulnerable no se carga por defecto, sino solo cuando se ha establecido una cierta clave de registro. Los usuarios solo necesitan deshabilitar la función de Soporte de HTTP Trailer para mantenerse seguros.
Para reforzar sus defensas contra este RCE tipo gusano en Windows Server y detectar posibles ataques contra su infraestructura, puede obtener la regla Sigma gratuita disponible en la plataforma Detection as Code de SOC Prime.
Las reglas a continuación permiten detectar la actividad maliciosa asociada con las PoCs explotables públicamente para CVE-2022-21907. En vista de la discusión actual sobre si las PoCs publicadas son válidas, el equipo de SOC Prime está listo para implementar actualizaciones relevantes en las reglas existentes y crear nuevas según cualquier declaración oficial de fuentes confiables.
Esta detecciĂłn tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Azure Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix y AWS OpenSearch.
La regla está alineada con el último marco del MITRE ATT&CK® v.10, abordando la táctica de Acceso Inicial con Explotación de Aplicación Pública como la técnica principal (T1190).
Esta detecciĂłn tiene traducciones para las siguientes plataformas SIEM, EDR y XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix y Open Distro.
La regla está alineada con el último marco del MITRE ATT&CK® v.10, abordando las tácticas de Ejecución y Descubrimiento con Intérprete de Comandos y Scripts (T1059) y Consulta de Registro (T1012) como las técnicas principales.
Únase a la plataforma Detection as Code de SOC Prime de forma gratuita para buscar las últimas amenazas en su entorno SIEM o XDR, mejore su cobertura de amenazas obteniendo el contenido más relevante alineado con la matriz MITRE ATT&CK y, en general, refuerce las capacidades de defensa contra ciberataques de la organización. Los expertos en seguridad también son bienvenidos a unirse a nuestro Programa de Recompensas de Amenazas para monetizar su propio contenido de detección.
Ir a la Plataforma Ăšnase al Programa de Recompensas de Amenazas