Detectar intentos de explotación de CVE-2023-28252 & CVE-2023-21554: Zero-Day de Windows usado activamente en ataques de ransomware y una falla crítica de RCE
Tabla de contenidos:
Con un creciente número de fallos de día cero que afectan a productos de software ampliamente utilizados, la detección proactiva de la explotación de vulnerabilidades ha sido uno de los casos de uso de seguridad más prevalentes desde 2021.
Recientemente, Microsoft ha emitido una serie de actualizaciones de seguridad relevantes para fallos críticos que afectan a sus productos, incluyendo un parche para un día cero activamente explotado en la naturaleza y rastreado como la vulnerabilidad CVE-2023-28252. Esta última es una vulnerabilidad de escalada de privilegios en el Controlador del Sistema de Archivos de Registro Común de Windows (CLFS), con un puntaje CVSS de 7.8.
Otro error de seguridad que capta la atención de los defensores cibernéticos es una vulnerabilidad RCE en el servicio Microsoft Message Queuing (MSMQ) rastreada como CVE-2023-21554 y que posee un puntaje CVSS de 9.8.
En vista de la explotación activa de vulnerabilidades, el 11 de abril de 2023, CISA emitió una alerta notificando a los colegas de la industria de la incorporación del día cero de Windows CVE-2023-28252 a su catálogo de Vulnerabilidades Exploradas Conocidas para aumentar la conciencia sobre ciberseguridad.
Detección de CVE-2023-28252 & CVE-2023-21554
En vista de que Microsoft aborda vulnerabilidades de día cero en sus productos emblemáticos por segundo mes consecutivo, los practicantes de seguridad requieren una fuente confiable de contenido de detección para identificar proactivamente y asegurar su infraestructura organizacional.
Las Plataformas Detection as Code de SOC Prime ofrecen un lote de reglas Sigma curadas dirigidas a la detección de explotación de CVE-2023-28252 y CVE-2023-21554. Profundice en las detecciones acompañadas de enlaces CTI, MITRE ATT&CK® referencias, y otros metadatos relevantes siguiendo los enlaces a continuación.
Regla Sigma para Detectar Patrones de Explotación de CVE-2023-28252
La regla es compatible con 21 plataformas SIEM, EDR y XDR y está alineada con el marco MITRE ATT&CK v12, abordando el Acceso Inicial con Aplicación de Cara Pública Exploitiada (T1190) como la técnica correspondiente.
Reglas Sigma para Detectar Intentos de Explotación de CVE-2023-21554
Las reglas soportan 20+ formatos de lenguaje SIEM, EDR, y XDR y abordan las tácticas de Acceso Inicial y Movimiento Lateral, con Aplicación de Cara Pública Exploitiada (T1190) y Explotación de Servicios Remotos (T1210) como técnicas correspondientes.
Al hacer clic en el Explorar Detecciones botón, las organizaciones pueden obtener acceso instantáneo a aún más algoritmos de detección destinados a ayudar a identificar el comportamiento malicioso relacionado con la explotación de vulnerabilidades en tendencia.
Análisis de CVE-2023-21554 y CVE-2023-28252
CISA ha emitido recientemente una nueva alerta informando a los defensores cibernéticos de los riesgos crecientes relacionados con la explotación de una vulnerabilidad conocida del Sistema de Archivos de Registro Común de Windows CVE-2023-28252 utilizada en los ataques de ransomware y que representa una amenaza potencial para las empresas federales. Este día cero activamente explotado, que es aprovechado por los actores de amenazas para escalar privilegios y propagar cargas útiles de ransomware Nokoyawa, ha sido recientemente parcheado por Microsoft. CVE-2023-28252 ha recibido un puntaje CVSSv3 de 7.8.
Otra vulnerabilidad recientemente descubierta y parcheada en las Actualizaciones de Seguridad de Microsoft de abril de 2023, rastreada como CVE-2023-21554 con un puntaje CVSS de 9.8, ha sido llamada QueueJumper por investigadores de ciberseguridad de Check Point. Esta falla de seguridad es una vulnerabilidad crítica RCE en el servicio MSMQ, que permite a usuarios no autorizados ejecutar de forma remota código arbitrario en el proceso del servicio de Windows mqsvc.exe. Los adversarios pueden tomar control del proceso abusando del puerto TCP 1801 a través de la explotación de la vulnerabilidad.
Como medidas potenciales de mitigación, los defensores cibernéticos recomiendan instalar prontamente los parches oficiales de Microsoft para CVE-2023-28252 and CVE-2023-21554. Además, los clientes que utilizan los productos de Microsoft potencialmente afectados deben verificar la disponibilidad del servicio MSMQ para servidores y clientes de Windows y potencialmente desactivarlo para reducir las superficies de ataque innecesarias.
Confíe en SOC Prime para estar completamente equipado con contenido de detección para cualquier CVE explotable y cualquier TTP utilizado en ataques cibernéticos. Obtenga acceso a más de 800 reglas para vulnerabilidades emergentes y establecidas para identificar instantáneamente comportamientos maliciosos y remediar las amenazas a tiempo. Obtenga 140+ reglas Sigma gratis o acceda a toda la lista de algoritmos de detección relevantes eligiendo la suscripción On Demand adaptada a sus necesidades de seguridad en https://my.socprime.com/pricing/.
