Rilevamento di CVE-2024-21111: Una nuova vulnerabilità di elevazione dei privilegi locali critica in Oracle VirtualBox con PoC exploit rilasciato
Indice:
È stata recentemente scoperta una nuova vulnerabilità assegnata a CVE-2024-21111 in Oracle Virtualbox, un software di virtualizzazione open-source ampiamente diffuso. La vulnerabilità critica scoperta in Oracle VirtualBox consente agli avversari di elevare i privilegi a NT AUTHORITYSYSTEM tramite Symbolic Link, la cui exploitazione può portare alla cancellazione o allo spostamento arbitrario di file.
Individuare i Tentativi di Exploit del CVE-2024-21111
Con l’aumento esponenziale e la crescente sofisticazione degli attacchi, in cui gli avversari strumentalizzano le vulnerabilità nei prodotti open-source popolari, Rilevamento Proattivo dell’Exploitation delle Vulnerabilità rimane tra i principali casi d’uso della cybersecurity. La piattaforma SOC Prime per la difesa cibernetica collettiva ha recentemente rilasciato una nuova regola Sigma per rilevare i tentativi di exploit di una nuova vulnerabilità critica in Oracle VM VirtualBox, abusata dagli aggressori per elevare i privilegi sull’host compromesso. Accedi alla Piattaforma per accedere all’algoritmo di rilevamento pertinente arricchito con CTI rilevante, dettagliate informazioni metadata e compatibile con soluzioni leader nel settore come SIEM, EDR e Data Lake.
Tentativo di Exploit di CVE-2024-21111 (Oractle Virtualbox LPE) Possibile (via file_event)
Il rilevamento è allineato con il framework MITRE ATT&CK®, affrontando la tattica di Privilege Escalation e la tecnica di Exploitation per Privilege Escalation (T1068).
Per rimanere continuamente all’avanguardia rispetto alle minacce emergenti e porre rimedio tempestivamente ai rischi di intrusioni, esplora l’intera collezione di contenuti SOC rilevanti di alta qualità disponibili tramite il Esplora Rilevamenti pulsante qui sotto.
Analisi CVE-2024-21111
È emersa una nuova vulnerabilità, tracciata come CVE-2024-21111, nel panorama delle minacce cibernetiche. Il bug di sicurezza, che ha un punteggio CVSS di alta criticità di 7.8, colpisce le versioni di Oracle VM VirtualBox precedenti alla 7.0.16.
CVE-2024-21111 rappresenta una minaccia significativa in quanto può essere strumentalizzata da aggressori con bassi privilegi e accesso al logon per compromettere Oracle VM VirtualBox. La falla può essere abusata dagli avversari sia per cancellare file nella directory sia per effettuare uno spostamento arbitrario di file, potenzialmente portando al controllo del sistema. Tuttavia, la falla rappresenta un rischio considerevole solo per gli host Windows. CVE-2024-21111 è stata scoperta dal ricercatore di sicurezza Naor Hodorov, che ha anche creato un codice di esempio PoC per questa vulnerabilità.
In risposta alla minaccia in escalation, il fornitore ha prontamente fornito una patch per la vulnerabilità e ha emesso un avviso di sicurezza dedicato per aiutare le organizzazioni a ridurre istantaneamente i rischi. Come potenziali misure di mitigazione CVE, Oracle raccomanda di aggiornare all’ultima versione del software a causa della gravità dell’attacco potenziale. Inoltre, i difensori possono ridurre i rischi bloccando i protocolli di rete potenzialmente esposti all’exploit e limitando i privilegi per gli utenti che non ne hanno necessità.
Prevenire gli attacchi prima che colpiscano e migliorare la postura di cybersecurity della tua organizzazione con la suite completa di prodotti SOC Prime per l’Ingegneria della Rilevazione Con Potenza IA, Caccia Automatica Alle Minacce & Convalida dello Stack di Rilevamento.
