Détection de CVE-2024-24576 : Les Hackers Exploitent une Vulnérabilité « BatBadBut » Rust de Sévérité Maximale pour Cibler les Utilisateurs Windows
Table des matières :
Une nouvelle vulnérabilité de gravité maximale a été découverte dans la bibliothèque standard Rust. Cette vulnérabilité constitue une menace sérieuse pour les utilisateurs de Windows en permettant de potentielles attaques par injection de commande. Le défaut suivi comme CVE-2024-24576 affecte spécifiquement les situations où les fichiers batch sur Windows sont exécutés avec des arguments non fiables. Avec le code de preuve de concept (PoC) déjà publié publiquement, l’exploitation réussie de la vulnérabilité identifiée augmente les risques d’attaques in-the-wild.
Détecter les tentatives d’exploitation de CVE-2024-24576
La détection de l’exploitation des vulnérabilités est restée parmi les principaux cas d’utilisation en cybersécurité au cours des dernières années en raison du nombre croissant de défauts émergents de manière exponentielle. Pour aider les professionnels de la sécurité à repérer les tentatives d’exploitation potentielles à temps et à défendre de manière proactive, la plateforme SOC Prime agrège plus de 300 000 algorithmes de détection sélectionnés accompagnés de solutions avancées pour la chasse aux menaces et l’ingénierie de détection. Notre flux de règles global pour les dernières TTP des attaquants fournit des détections pour les menaces les plus récentes avec un SLA de 24 heures, garantissant que les experts en sécurité sont armés pour résister aux intrusions à temps.
Pour aider les défenseurs cyber à repérer l’activité malveillante associée à l’exploitation de CVE-2024-24576, le Threat Detection Marketplace propose une règle Sigma sélectionnée par notre développeur Threat Bounty passionné Emir Erdogan:
La règle ci-dessus aide à détecter les attaques d’injection de commande Windows via le langage de programmation Rust via les journaux process_creation. La détection est compatible avec plus de 28 formats de SIEM, EDR et Data Lake et est mappée au cadre MITRE ATT&CK® v14.1. De plus, la règle Sigma est enrichie avec des renseignements sur les menaces et des métadonnées étendues pour rationaliser l’investigation des menaces.
Envie de développer vos compétences en ingénierie de détection et de contribuer à la défense cyber collective tout en gagnant de l’argent pour votre contribution ? Devenez membre du Programme de primes SOC Prime pour former vos compétences en codage de détection, avancer dans votre carrière d’ingénieur, et coder votre CV tout en enrichissant l’expertise de l’industrie et en gagnant des avantages financiers pour votre contribution.
Pour améliorer l’efficacité de la chasse aux menaces et sécuriser l’infrastructure organisationnelle, les défenseurs cyber peuvent explorer l’ensemble de la pile de détection visant la détection de l’exploitation de vulnérabilités. Cliquez sur le bouton Explorer les détections ci-dessous et plongez dans les vastes collections de règles Sigma enrichies de métadonnées pertinentes. Plus précisément, les règles sont accompagnées de liens CTI, de références ATT&CK, de recommandations de triage, de chronologies d’attaque, et plus encore.
Analyse de CVE-2024-24576
La bibliothèque standard Rust inclut l’API Command pour exécuter des fichiers batch Windows parmi ses fonctions courantes. Un récent avis du groupe de réponse de sécurité Rust a souligné que la fonction manquait d’un traitement d’entrée robuste, ce qui ouvre la voie à une potentielle injection de code pendant l’exécution. Selon un avis, les attaquants peuvent potentiellement manipuler les arguments fournis au processus engendré et exécuter des commandes shell non autorisées en contournant le mécanisme d’échappement. Cette vulnérabilité Rust est identifiée comme CVE-2024-24576et atteint un niveau de gravité maximal (score CVSS 10.0), en particulier dans les cas d’utilisation lorsqu’on invoque des fichiers batch avec les extensions .bat et .cmd sur Windows via l’API Command.
Le CVE-2024-24576, surnommé BatBadBut, a été dévoilé et signalé par le chercheur en sécurité RyotaK au CERT/CC. Notamment, le défaut affecte plusieurs langages de programmation sauf s’ils analysent correctement les arguments envoyés au processus batch Windows. Il survient lorsqu’un langage de programmation enveloppe la fonction CreateProcess dans Windows et incorpore un mécanisme d’échappement pour les arguments de commande. L’ampleur complète de l’impact du CVE-2024-24576 dépend de la manière dont le langage de programmation ou le module vulnérable est mis en œuvre. Différentes implémentations peuvent entraîner divers degrés d’exploitation et de risques de sécurité potentiels.
L’impact de CVE s’étend à toutes les versions de Rust antérieures à la version 1.77.2 sur les appareils Windows à condition que le code ou toute dépendance exécute des fichiers batch avec des arguments non fiables. Néanmoins, le défaut n’affecte pas d’autres plates-formes ou différents usages sur Windows.
En tant que mesures d’atténuation de CVE-2024-24576, le fournisseur recommande fortement de mettre à jour la bibliothèque standard à la version Rust 1.77.2 qui inclut un correctif pour le défaut critique. Comme autre option pour minimiser les risques d’exploitation, CERT/CC dans l’avis connexe recommande également de mettre en œuvre une échappement et une neutralisation des données appropriés pour prévenir une exécution potentielle de commandes au cas où le runtime de l’application utilisateur manque d’un correctif pour cette vulnérabilité.
Avec le code PoC disponible publiquement sur GitHub, les risques d’exploitation de cette vulnérabilité Rust dans la nature augmentent de façon spectaculaire, ce qui nécessite une ultra-réactivité des défenseurs. Inscrivez-vous à la plateforme SOC Prime pour rester continuellement informé des CVE critiques et des menaces émergentes les plus difficiles à votre entreprise tout en élevant vos défenses à grande échelle.
