Rilevamento CVE-2024-21378: Vulnerabilità in Microsoft Outlook Porta a Esecuzione di Codice Remota Autenticata
Indice:
Sulla scia delle pericolose vulnerabilità di JetBrains TeamCity (CVE-2024-27198, CVE-2024-2719), gli esperti di sicurezza rivelano una nuova RCE che colpisce Microsoft Outlook. Gli avversari autenticati potrebbero sfruttare il problema di sicurezza per eseguire codice malevolo sull’istanza impattata, ottenendo un ampio controllo su di essa. Sebbene la vulnerabilità sia stata corretta da Microsoft nel febbraio 2024, il fornitore la classifica come “Più Probabile Sfruttamento”, specialmente alla luce di un recente rilascio di prova di concetto (PoC).
Rilevare tentativi di sfruttamento di CVE-2024-21378
In vista del fatto che CVE-2024-21378 potrebbe essere utilizzata in campagne dal vivo, è fondamentale per i difensori informatici difendere proattivamente e individuare attività sospette sin dalle prime fasi dello sviluppo dell’attacco. La piattaforma SOC Prime aggrega un set di regole Sigma curate per identificare attività malevole legate allo sfruttamento della vulnerabilità di Microsoft Outlook.
Le regole del Team SOC Prime rilevano operazioni relative a un modulo di Outlook e a un cambiamento di file in un percorso specifico ad esso correlato che potrebbe essere utilizzato per posizionare file DLL malevoli. Tutte le rilevazioni sono compatibili con 28 tecnologie SIEM, EDR, XDR e Data Lake e mappate al framework MITRE ATT&CK v14.1 affrontando la tattica di elusione della difesa, con Hijack Execution Flow (T1574) come tecnica principale.
I professionisti della sicurezza che cercano modi per potenziare la loro resilienza informatica contro minacce emergenti di qualsiasi scala, compresi i CVE di tendenza, potrebbero esplorare l’intera raccolta di algoritmi di rilevamento che affrontano lo sfruttamento delle vulnerabilità. Basta cliccare su Esplora Rilevamenti il pulsante sottostante e approfondire l’elenco delle regole arricchite con metadati estensivi e intelligenza su misura.
Analisi di CVE-2024-21378: Remote Code Execution in Microsoft Outlook
Nel 2023, i ricercatori di NetSpi hanno scoperto una vulnerabilità di esecuzione di codice remoto autenticata che colpisce Microsoft Outlook. Il difetto tracciato come CVE-2024-21378 consente agli hacker di eseguire codice malevolo sul sistema colpito. Tuttavia, per sfruttare il problema, gli attori delle minacce necessitano di autenticazione con accesso LAN e di un token di accesso valido per un utente Exchange. Inoltre, un utente mirato viene ingannato per interagire con un file appositamente preparato per innescare i successivi passaggi dell’attacco.
Notoriamente, lo sfruttamento si basa sul vettore d’attacco descritto da Etienne Stalmans di SensePost nel 2017. Questo metodo sfrutta il codice VBScript all’interno degli oggetti form di Outlook per raggiungere la RCE con accesso alla casella postale. Sebbene Microsoft abbia affrontato il problema con patch pertinenti, la funzione di sincronizzazione vulnerabile degli oggetti del form non è mai stata alterata, il che ha portato alla luce la lacuna di sicurezza di Outlook.
Il difetto è stato segnalato a Microsoft nel 2023, e il fornitore lo ha corretto in tutte le versioni supportate di Outlook il 13 febbraio 2024. L’11 marzo, i ricercatori di NetSpi hanno condiviso una panoramica del difetto, inclusi i dettagli sul codice PoC correlato.
Con i dettagli di CVE-2024-21378 accessibili pubblicamente sul web, il rischio di potenziale sfruttamento sta crescendo, il che alimenta un’ultra-reattività da parte dei difensori. Sfruttando SOC Prime’s Attack Detective, gli ingegneri della sicurezza possono elevare l’assetto di cybersicurezza dell’organizzazione identificando tempestivamente i punti ciechi della difesa informatica, identificando i dati corretti da raccogliere per affrontare queste lacune e ottimizzare il ROI del SIEM, e prioritizzando le procedure di rilevamento prima che gli avversari abbiano la possibilità di colpire.
