Rilevamento CVE-2022-30190: Aggiornamenti sulla Vulnerabilità RCE di Microsoft Windows
Indice:
Iniziamo con un breve riepilogo degli sviluppi riguardanti la vulnerabilità zero-day di Windows (CVE-2022-30190), aka Follina.
Nel aprile 2022, un team di ricerca conosciuto con il nome di battaglia CrazymanArmy ha avvertito Microsoft di una nuova vulnerabilità RCE zero-day in uno dei loro prodotti. La corporation tecnologica ha scelto di non affrontare il problema in quel momento. Il 27 maggio 2022, questa vulnerabilità RCE in Windows è stata divulgata pubblicamente, nota per influenzare il Microsoft Support Diagnostic Tool (MSDT), iniziando a fare notizia nella comunità della cybersecurity. Dal 31 maggio 2022, questa vulnerabilità di Windows è finalmente riconosciuta e tracciata come CVE-2022-30190, tuttavia non è ancora ufficialmente chiamata zero-day da Microsoft.
Rileva CVE-2022-30190
Segui gli aggiornamenti sul contenuto delle rilevazioni relative a CVE-2022-30190 (aka Follina) nel repository Threat Detection Marketplace della piattaforma SOC Prime. Sfruttando la potenza della difesa cibernetica collaborativa, il team di SOC Prime ha recentemente rilasciato un lotto di regole Sigma dedicate per il rilevamento di CVE-2022-30190:
Regole Sigma per rilevare tentativi di sfruttamento della vulnerabilità CVE-2022-30190
Premi il Visualizza Rilevazioni per accedere a un elenco esaustivo di contenuti di rilevazione pertinenti associati alla vulnerabilità zero-day Follina e opportunamente etichettati. I cacciatori di minacce, sia aspiranti che esperti, possono sfidare la loro conoscenza e abilità nel campo del rilevamento delle minacce unendosi al Programma Threat Bounty.
Visualizza Rilevazioni Unisciti al Threat Bounty
Descrizione di CVE-2022-30190
Il 30 maggio 2022, Microsoft ha rilasciato un avviso su CVE-2022-30190, insieme alla guida dal loro Security Response Center, offrendo soluzioni temporanee fino al rilascio delle correzioni.
Il nome di questa vulnerabilità RCE, che colpisce MSDT, deriva dal nome del campione di Word armato caricato su VirusTotal, che includeva una 0438 combinazione di numeri. Un ricercatore di sicurezza Kevin Beaumont ha assegnato il nome Follina poiché ha riconosciuto il numero poiché rappresenta anche un prefisso per l’area del comune di Follina in Italia.
Al momento non ci sono patch per correggere il bug, quindi gli avversari possono sfruttare anche le versioni più recenti di Office. Il prodotto Microsoft colpito, MSDT, è purtroppo un vasto e attraente terreno di gioco per gli attori delle minacce, quindi è altamente consigliato tenere il polso sugli sviluppi di CVE-2022-30190 e scansionare il proprio ambiente per possibili tentativi di sfruttamento.
Per maggiori dettagli su questa vulnerabilità, si prega di consultare l’ analisi di CVE-2022-30190 rilasciata sul blog SOC Prime il 30 maggio 2022.
Prova le capacità di streaming dei contenuti e aiuta la tua organizzazione a potenziare le operazioni quotidiane del SOC con contenuti di rilevamento sviluppati da leader della sicurezza. Tieni il polso del rapido ambiente dei rischi informatici e ottieni le migliori soluzioni di rilevamento con SOC Prime.
