Rilevare CVE-2022-21907: Un RCE Wormable in Windows Server
Indice:
Un altro giorno, un’altra vulnerabilità critica che rappresenta un grande problema per i professionisti della sicurezza. Questa volta i ricercatori hanno identificato un difetto di esecuzione di codice remoto (RCE) wormable che impatta le ultime versioni di Windows desktop e server. Il fornitore esorta tutti ad aggiornare i propri sistemi il prima possibile poiché la vulnerabilità potrebbe essere facilmente sfruttata dagli avversari per eseguire codice arbitrario sulle istanze colpite.
CVE-2022-21907 Exploit
Il bug risiede nello stack del protocollo HTTP, una componente cruciale utilizzata dal server web di Windows Internet Information Services per ospitare pagine web. Sfruttando la funzione di supporto del trailer HTTP, hacker non autorizzati possono inviare pacchetti appositamente elaborati al server, sfruttando lo stack del protocollo HTTP (http.sys) per processare i pacchetti e ingannare il sistema facendolo eseguire il codice dannoso per loro conto. Si noti che non è richiesta alcuna interazione dell’utente per procedere con l’intrusione.
Dato il punteggio CVSS di 9.8, la natura wormable della falla di sicurezza e la bassa complessità della routine d’attacco, Microsoft esorta a patchare la vulnerabilità senza ritardo. Come riportato dal comunicato, le versioni di Windows Server 2019, 20H2 e 2022, insieme alle versioni desktop 10 e 11, sono risultate colpite.
Sebbene non siano state osservate sfruttamenti in ambienti praticamente reali fino ad oggi, è solo una questione di tempo prima che gli avversari Possano armarsi di exploit per il CVE-2022-21907. I PoC pubblici degli exploit sono già stati rilasciati per questa vulnerabilità . Tuttavia, i ricercatori di sicurezza stanno discutendo se i PoC disponibili siano totalmente applicabili per attacchi nel mondo reale.
Rilevamento CVE-2022-21907
La vulnerabilità è stata risolta da Microsoft con il suo ultimo rilascio del Patch Tuesday dell’11 gennaio 2022. Inoltre, per Windows Server 2019 e Windows 10 versione 1809, sono disponibili mitigazioni poiché il codice vulnerabile non è caricato di default ma solo quando una certa chiave di registro è impostata. Gli utenti devono semplicemente disabilitare la funzione di supporto del trailer HTTP per restare al sicuro.
Per potenziare le tue difese contro questa RCE wormable in Windows Server e rilevare possibili attacchi alla tua infrastruttura, puoi ottenere la regola Sigma gratuita disponibile sulla piattaforma SOC Prime’s Detection as Code.
Le regole seguenti consentono di rilevare l’attività dannosa associata ai PoC degli exploit pubblicamente rilasciati per CVE-2022-21907. In vista di una discussione attuale che argomenta se i PoC rilasciati siano validi, il team di SOC Prime è pronto a implementare aggiornamenti pertinenti alle regole esistenti e a crearne di nuove su qualsiasi dichiarazione ufficiale proveniente da fonti affidabili.
Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Azure Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix e AWS OpenSearch.
La regola è allineata con l’ultimo framework MITRE ATT&CK® v.10, affrontando la tattica di Accesso Iniziale con Sfruttamento di Applicazioni Esposte al Pubblico come tecnica principale (T1190).
Questo rilevamento ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix e Open Distro.
La regola è allineata con l’ultimo framework MITRE ATT&CK® v.10, affrontando le tattiche di Esecuzione e Scoperta con Interprete di Comandi e Script (T1059) e Query Registro (T1012) come tecniche principali.
Unisciti gratuitamente alla piattaforma Detection as Code di SOC Prime per cercare le ultime minacce nel tuo ambiente SIEM o XDR, migliorare la tua copertura delle minacce raggiungendo il contenuto più rilevante allineato alla matrice MITRE ATT&CK e, nel complesso, potenziare le capacità di difesa informatica della tua organizzazione. Gli esperti di sicurezza sono anche invitati a partecipare al nostro Programma di Ricompensa per le Minacce per monetizzare il loro contenuto di rilevamento.
Vai alla Piattaforma Iscriviti al Programma di Ricompensa per le Minacce
