Rilevamento CVE-2024-24576: Gli Hacker Sfruttano una Vulnerabilità Rust di Massima Gravità “BatBadBut” per Colpire Gli Utenti Windows
Indice:
È stata scoperta una nuova vulnerabilità di massima gravità nella libreria standard di Rust. Questa vulnerabilità rappresenta una seria minaccia per gli utenti Windows poiché permette potenziali attacchi di injection di comandi. Il difetto, tracciato come CVE-2024-24576, colpisce specificamente situazioni in cui i file batch su Windows vengono eseguiti con argomenti non attendibili. Con il codice PoC già reso pubblico, lo sfruttamento con successo della vulnerabilità identificata aumenta i rischi di attacchi in-the-wild.
Rilevare i Tentativi di Sfruttamento di CVE-2024-24576
Il Rilevamento dello Sfruttamento delle Vulnerabilità è rimasto tra i principali casi d’uso della cybersecurity negli ultimi anni, in vista del numero crescente di difetti emergenti che crescono esponenzialmente. Per aiutare i professionisti della sicurezza a individuare per tempo i potenziali tentativi di sfruttamento e difendersi proattivamente, la piattaforma SOC Prime aggrega oltre 300K algoritmi di rilevamento curati accompagnati da soluzioni avanzate per il threat hunting e l’ingegneria del rilevamento. Il nostro flusso globale di regole per le TTP degli attaccanti più recenti fornisce rilevamenti per le minacce più recenti con un SLA di 24 ore, assicurando che gli esperti di sicurezza siano preparati a resistere alle intrusioni in tempo.
Per aiutare i difensori cibernetici a individuare l’attività dannosa associata allo sfruttamento di CVE-2024-24576, il Threat Detection Marketplace offre una regola Sigma curata dal nostro abile sviluppatore Threat Bounty Emir Erdogan:
Attacchi di Injection Comando Altamente Possibili Usando la Vulnerabilità di Rust (CVE-2024-24576)
La regola sopra aiuta a rilevare attacchi di injection di comando su Windows tramite il linguaggio di programmazione Rust, attraverso i log di process_creation. Il rilevamento è compatibile con oltre 28 formati SIEM, EDR e Data Lake ed è mappato al quadro MITRE ATT&CK® v14.1. Inoltre, la regola Sigma è arricchita con ampie informazioni sulle minacce e metadati per semplificare le indagini sulle minacce.
Desideroso di sviluppare le tue competenze di ingegneria del rilevamento e contribuire alla difesa cibernetica collettiva guadagnando soldi per il tuo contributo? Diventa membro del Programma di Bounty per le Minacce di SOC Prime per allenare le tue abilità di coding per il rilevamento, avanzare nella tua carriera di ingegneria e arricchire il tuo CV mentre accresci l’esperienza nel settore e guadagni benefici finanziari per il tuo contributo.
Per aumentare l’efficacia del threat hunting e proteggere l’infrastruttura organizzativa, i difensori cibernetici possono esplorare l’intero stack di rilevamento mirato allo sfruttamento delle vulnerabilità. Premi il pulsante Esplora Rilevamenti sotto e vai alle ampie collezioni di regole Sigma arricchite con i metadati pertinenti. Specificamente, le regole sono accompagnate da link CTI, riferimenti ATT&CK, raccomandazioni di triage, cronologie di attacco e altro ancora.
Analisi di CVE-2024-24576
La libreria standard di Rust include l’API Command per l’esecuzione di file batch di Windows tra le sue funzioni comuni. Un recente avviso del Gruppo di Risposta alla Sicurezza Rust ha evidenziato che la funzione mancava di un’elaborazione robusta degli input, il che apre la porta a potenziali injection di codice durante l’esecuzione. Secondo un avviso, gli attaccanti possono potenzialmente manipolare gli argomenti forniti al processo generato ed eseguire comandi shell non autorizzati aggirando il meccanismo di escaping. Questa vulnerabilità Rust è identificata come CVE-2024-24576 e raggiunge un livello di gravità massimo (punteggio CVSS 10.0), particolarmente nei casi d’uso in cui si invocano file batch con le estensioni .bat e .cmd su Windows tramite l’API Command.
CVE-2024-24576, soprannominata BatBadBut, è stata svelata e riportata dal ricercatore di sicurezza RyotaK al CERT/CC. Notoriamente, il difetto impatta molti linguaggi di programmazione a meno che non gestiscano correttamente gli argomenti inviati al processo batch di Windows. Si verifica quando un linguaggio di programmazione incapsula la funzione CreateProcess in Windows e incorpora un meccanismo di escaping per gli argomenti dei comandi. L’intera portata dell’impatto di CVE-2024-24576 dipende da come è implementato il linguaggio di programmazione o modulo vulnerabile. Differenti implementazioni possono portare a diversi gradi di sfruttamento e potenziali rischi per la sicurezza.
L’impatto di CVE si estende a tutte le versioni di Rust prima della 1.77.2 su dispositivi Windows, a condizione che il codice o qualsiasi dipendenza esegua file batch con argomenti non attendibili. Tuttavia, il difetto non colpisce altre piattaforme o diversi usi su Windows.
Come misure di mitigazione per CVE-2024-24576, il fornitore raccomanda fortemente di aggiornare la libreria standard alla versione Rust 1.77.2 che include una patch per il difetto critico. Come altra opzione per minimizzare i rischi di sfruttamento, anche il CERT/CC nell’avviso correlato raccomanda anche di implementare il corretto escaping e la neutralizzazione dei dati per prevenire la potenziale esecuzione di comandi nel caso in cui il runtime dell’applicazione dell’utente manchi di una patch per questa vulnerabilità.
Con il codice PoC disponibile pubblicamente su GitHub, i rischi di sfruttamento di questa vulnerabilità di Rust in-the-wild stanno aumentando drammaticamente, il che richiede ultra-responsività dai difensori. Iscriviti alla piattaforma SOC Prime per rimanere continuamente aggiornato sui CVE critici e sulle minacce emergenti più sfidanti per il tuo business mentre elevi le tue difese su larga scala.
