Rileva i tentativi di sfruttamento di CVE-2023-28252 e CVE-2023-21554: Zero-Day di Windows attivamente utilizzato negli attacchi ransomware e una grave vulnerabilità RCE

Con un numero crescente di vulnerabilità zero-day che interessano prodotti software ampiamente utilizzati, la rilevazione proattiva dello sfruttamento delle vulnerabilità è stata uno dei casi d’uso di sicurezza più diffusi dal 2021. 

Microsoft ha recentemente emesso una serie di aggiornamenti di sicurezza rilevanti per le vulnerabilità critiche che riguardano i suoi prodotti, incluso un aggiornamento per una zero-day attivamente sfruttata in circolazione e tracciata come la vulnerabilità CVE-2023-28252. Quest’ultima è una vulnerabilità di escalation dei privilegi nel driver del Windows Common Log File System (CLFS), con un punteggio CVSS che raggiunge 7.8.

Un altro bug di sicurezza che attira l’attenzione dei difensori informatici è una vulnerabilità RCE nel servizio Microsoft Message Queuing (MSMQ) tracciata come CVE-2023-21554 e con un punteggio CVSS di 9.8.

In vista dello sfruttamento attivo delle vulnerabilità, l’11 aprile 2023, CISA ha emesso un avviso notificando ai colleghi del settore l’aggiunta della Windows zero-day CVE-2023-28252 al suo catalogo delle vulnerabilità note sfruttate per aumentare la consapevolezza in materia di sicurezza informatica. 

Rilevazione CVE-2023-28252 & CVE-2023-21554

In vista del fatto che Microsoft affronta le vulnerabilità zero-day nei suoi principali prodotti per il secondo mese consecutivo, i professionisti della sicurezza richiedono una fonte affidabile di contenuti di rilevazione per identificare e proteggere proattivamente l’infrastruttura organizzativa.

Le piattaforme di Detection as Code di SOC Prime offrono un lot di regole Sigma curate destinate alla rilevazione degli exploit CVE-2023-28252 e CVE-2023-21554. Approfondisci le rilevazioni accompagnate da collegamenti CTI, MITRE ATT&CK® riferimenti e altri metadati rilevanti seguendo i link qui sotto.

Regola Sigma per rilevare i modelli di sfruttamento di CVE-2023-28252

La regola è compatibile con 21 piattaforme SIEM, EDR e XDR ed è allineata al framework MITRE ATT&CK v12, affrontando l’Accesso Iniziale con l’Exploitation di Applicazione Accessibile al Pubblico (T1190) come tecnica corrispondente. 

Regole Sigma per rilevare i tentativi di sfruttamento di CVE-2023-21554

Le regole supportano oltre 20 formati di linguaggio SIEM, EDR e XDR e affrontano le tattiche di Accesso Iniziale e Movimento Laterale, con l’Exploitation di Applicazione Accessibile al Pubblico (T1190) e lo Sfruttamento di Servizi Remoti (T1210) come tecniche corrispondenti. 

Cliccando sul pulsante Esplora Rilevazioni, le organizzazioni possono ottenere un accesso immediato a ulteriori algoritmi di rilevazione volti ad aiutare a identificare il comportamento dannoso legato allo sfruttamento delle vulnerabilità di tendenza.

pulsante Esplora Rilevazioni,

Analisi CVE-2023-21554 e CVE-2023-28252 

CISA ha recentemente emesso un nuovo avviso informando i difensori informatici dei rischi crescenti relativi allo sfruttamento di una nota vulnerabilità del Windows Common Log File System CVE-2023-28252 sfruttata negli attacchi ransomware e che rappresenta una potenziale minaccia per le imprese federali. Questa zero-day attivamente sfruttata, che è utilizzata dagli attori delle minacce per scalare i privilegi e diffondere payload di ransomware Nokoyawa, è stata recentemente corretta da Microsoft. CVE-2023-28252 ha ricevuto un punteggio CVSSv3 di 7.8.

Un’altra vulnerabilità recentemente scoperta e corretta nelle Aggiornamenti di Sicurezza di Microsoft di aprile 2023, tracciata come CVE-2023-21554 con un punteggio CVSS di 9.8, è stata chiamata QueueJumper dai ricercatori di sicurezza informatica di Check Point. Questo difetto di sicurezza è una critica vulnerabilità RCE nel servizio MSMQ, che consente agli utenti non autorizzati di eseguire codice arbitrario nel processo del servizio di Windows mqsvc.exe. Gli avversari possono prendere il controllo del processo abusando della porta TCP 1801 attraverso lo sfruttamento della vulnerabilità.

Come misure di mitigazione potenziali, i difensori informatici raccomandano di installare tempestivamente le patch ufficiali di Microsoft per CVE-2023-28252 and CVE-2023-21554. Inoltre, i clienti che utilizzano i prodotti Microsoft potenzialmente coinvolti dovrebbero verificare la disponibilità del servizio MSMQ per i server e i clienti Windows e, possibilmente, disabilitarlo per ridurre le superfici di attacco non necessarie. 

Fai affidamento su SOC Prime per essere completamente equipaggiato con contenuti di rilevazione per qualsiasi CVE sfruttabile e qualsiasi TTP utilizzato negli attacchi informatici. Accedi a oltre 800 regole per vulnerabilità emergenti e consolidate per identificare istantaneamente comportamenti malevoli e correggere tempestivamente le minacce. Ottieni 140+ regole Sigma gratuitamente oppure accedi all’elenco completo degli algoritmi di rilevazione pertinenti scegliendo l’abbonamento On Demand personalizzato per le tue esigenze di sicurezza al https://my.socprime.com/pricing/.