CVE-2022-30190 Détection : Mises à jour sur la vulnérabilité RCE de Microsoft Windows
Table des matières :
Commençons par un bref aperçu des développements concernant la vulnérabilité zero-day de Windows (CVE-2022-30190), alias Follina.
En avril 2022, une équipe de recherche connue sous le nom de CrazymanArmy a averti Microsoft d’une nouvelle vulnérabilité zero-day RCE dans l’un de leurs produits. La multinationale technologique a choisi de ne pas aborder le problème à ce moment-là. Le 27 mai 2022, cette vulnérabilité RCE dans Windows a été divulguée publiquement, connue pour affecter l’outil de diagnostic de support Microsoft (MSDT), commençant à faire des vagues dans la communauté de la cybersécurité. Depuis le 31 mai 2022, cette vulnérabilité de Windows est enfin reconnue et suivie comme CVE-2022-30190, mais elle n’est toujours pas officiellement désignée comme zero-day par Microsoft.
Détectez CVE-2022-30190
Suivez les mises à jour du contenu de détection lié à CVE-2022-30190 (alias Follina) dans le dépôt de la Threat Detection Marketplace de la plateforme SOC Prime. Exploitant la puissance de la cyberdéfense collaborative, l’équipe SOC Prime a récemment publié un lot de règles Sigma dédiées à la détection de CVE-2022-30190 :
Règles Sigma pour détecter les tentatives d’exploitation de la vulnérabilité CVE-2022-30190
Frappez le Voir les Détections bouton pour accéder à une liste exhaustive de contenu de détection pertinent associé à la vulnérabilité zero-day Follina et étiqueté en conséquence. Les chasseurs de menaces aspirants et expérimentés peuvent tester leurs connaissances et compétences dans le domaine de la détection de menaces en rejoignant le Programme de Prime de Menace.
Voir les Détections Rejoindre Prime de Menace
Description de CVE-2022-30190
Le 30 mai 2022, Microsoft a publié un avis sur CVE-2022-30190, accompagné des conseils de leur centre de réponse à la sécurité, offrant des solutions de contournement temporaires jusqu’à ce que les correctifs soient publiés.
Le surnom de cette vulnérabilité RCE, affectant MSDT, provient du nom de l’échantillon d’arme Word original téléchargé sur VirusTotal, qui incluait une 0438 combinaison de chiffres. Un chercheur en sécurité Kevin Beaumont a attribué le nom Follina car il a reconnu le numéro puisqu’il représente également un code de numérotation pour la région de la commune Follina en Italie.
Pour le moment, il n’existe pas de correctifs pour corriger l’erreur, donc les adversaires peuvent exploiter même les dernières versions d’Office. Le produit Microsoft affecté, MSDT, est malheureusement un terrain de jeu vaste et attrayant pour les acteurs malveillants, il est donc vivement recommandé de rester attentif aux développements de CVE-2022-30190 et de scanner votre environnement pour détecter d’éventuelles tentatives d’exploitation.
Pour plus de détails sur cette vulnérabilité, veuillez vous référer à l’ analyse de CVE-2022-30190 publiée sur le blog de SOC Prime le 30 mai 2022.
Testez les capacités de streaming de contenu et aidez votre organisation à renforcer les opérations quotidiennes du SOC avec du contenu de détection développé par des leaders en sécurité. Restez à l’écoute de l’environnement en évolution rapide des risques de cybersécurité et obtenez les meilleures solutions de détection avec SOC Prime.
