Détecter les Tentatives d’Exploitation CVE-2023-28252 & CVE-2023-21554 : Zero-Day Windows Utilisé dans des Attaques Ransomware et une Vulnérabilité RCE Critique

Avec un nombre croissant de vulnérabilités zero-day affectant des logiciels largement utilisés, la détection proactive de l’exploitation des vulnérabilités est l’un des cas d’utilisation de sécurité les plus répandus depuis 2021. 

Microsoft a récemment publié une série de mises à jour de sécurité pertinentes pour des failles critiques affectant ses produits, y compris un correctif pour une zero-day activement exploitée dans la nature et suivie sous la désignation de vulnérabilité CVE-2023-28252. Cette dernière est une vulnérabilité d’escalade de privilèges dans le pilote Windows Common Log File System (CLFS), avec un score CVSS atteignant 7,8.

Un autre bug de sécurité qui retient l’attention des cyber défenseurs est une vulnérabilité RCE dans le service Microsoft Message Queuing (MSMQ) suivie sous la désignation CVE-2023-21554 et possédant un score CVSS de 9,8.

En vue de l’exploitation active des vulnérabilités, le 11 avril 2023, la CISA a émis une alerte notifiant les pairs de l’industrie de l’ajout de la zero-day Windows CVE-2023-28252 à son catalogue des vulnérabilités exploitées connues pour accroître la sensibilisation à la cybersécurité. 

Détection de CVE-2023-28252 & CVE-2023-21554

En considérant que Microsoft traite les vulnérabilités zero-day dans ses produits phares pour le deuxième mois consécutif, les praticiens de la sécurité nécessitent une source fiable de contenu de détection pour identifier proactivement et sécuriser leur infrastructure organisationnelle.

Les plateformes Detection as Code de SOC Prime offrent un ensemble de règles Sigma sélectionnées visant la détection des exploits CVE-2023-28252 et CVE-2023-21554. Approfondissez les détections accompagnées de liens CTI, MITRE ATT&CK® références et autres métadonnées pertinentes en suivant les liens ci-dessous.

Règle Sigma pour détecter les schémas d’exploitation de CVE-2023-28252

La règle est compatible avec 21 plateformes SIEM, EDR et XDR et est alignée avec le cadre MITRE ATT&CK v12, traitant de l’accès initial avec l’application exploitée face au public (T1190) en tant que technique correspondante. 

Règles Sigma pour détecter les tentatives d’exploitation de CVE-2023-21554

Les règles prennent en charge plus de 20 formats de langage SIEM, EDR et XDR et traitent des tactiques d’accès initial et de mouvement latéral, avec Exploit Public-Facing Application (T1190) et Exploitation of Remote Services (T1210) en tant que techniques correspondantes. 

En cliquant sur le bouton Explorer les détections , les organisations peuvent accéder instantanément à encore plus d’algorithmes de détection visant à aider à identifier le comportement malveillant lié à l’exploitation des vulnérabilités en tendance.

Explorer les détections

Analyse de CVE-2023-21554 et CVE-2023-28252 

La CISA a récemment émis une nouvelle alerte informant les cyber défenseurs des risques croissants liés à l’exploitation d’une vulnérabilité connue du Windows Common Log File System CVE-2023-28252 exploitée dans les attaques de ransomware et constituant une menace potentielle pour les entreprises fédérales. Cette zero-day activement exploitée, qui est utilisée par les acteurs malveillants pour escalader les privilèges et propager des charges utiles Nokoyawa ransomware, a récemment été corrigée par Microsoft. CVE-2023-28252 a été attribué un score CVSSv3 de 7,8.

Une autre vulnérabilité récemment découverte et corrigée dans les mises à jour de sécurité de Microsoft d’avril 2023, suivie sous la désignation CVE-2023-21554 avec un score CVSS de 9,8, a été appelée QueueJumper par les chercheurs Check Point en cybersécurité. Ce défaut de sécurité est une vulnérabilité critique RCE dans le service MSMQ, qui permet à des utilisateurs non autorisés d’exécuter à distance du code arbitraire dans le processus de service Windows mqsvc.exe. Les adversaires peuvent prendre le contrôle du processus en abusant du port TCP 1801 via l’exploitation de la vulnérabilité.

En tant que mesures d’atténuation potentielles, les cyber défenseurs recommandent d’installer rapidement les correctifs officiels de Microsoft pour CVE-2023-28252 and CVE-2023-21554. De plus, les clients utilisant les produits Microsoft potentiellement impactés devraient vérifier la disponibilité du service MSMQ pour les serveurs et clients Windows et potentiellement le désactiver pour réduire les surfaces d’attaque inutiles. 

Comptez sur SOC Prime pour être entièrement équipé de contenu de détection pour toute CVE exploitable et toute TTP utilisée dans les cyberattaques. Accédez à plus de 800 règles pour les vulnérabilités émergentes et établies pour identifier instantanément le comportement malveillant et remédier aux menaces en temps opportun. Obtenez plus de 140 règles Sigma gratuitement ou accédez à la liste complète des algorithmes de détection pertinents en choisissant l’abonnement On Demand adapté à vos besoins en matière de sécurité sur https://my.socprime.com/pricing/.