CVE-2022-29108 検出: Microsoft SharePoint Server の新たに発見された欠陥

2022年5月のMicrosoft Patch Tuesdayでは、Microsoft製品において74の欠陥が明るみに出され、その中には CVE-2022–26923のような重要な脆弱性や、それらを緩和するために必要な修正が含まれていました。

新しいSharePoint Serverのリモートコード実行（RCE）脆弱性は、今年2月に発見された別のMicrosoft SharePoint RCEであるCVE-2022-22005に類似しており、攻撃者が妥協されたマシンで任意のコマンドを実行できるようにします。

CVE-2022-29108を検出

CVE-2022-29108に関連するあらゆるエクスプロイトパターンを追跡するには、熟練した脅威ハンター Aykut Gürses:

によってリリースされたSigmaルールを使用してください。Microsoft SharePoint Serverリモートコード実行脆弱性の利用による悪意ある初期アクセス – （CVE-2022-29108）（プロキシ経由）

この検出は、Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、QRadar、FireEye、LogPoint、Graylog、Regex Grep、Apache Kafka ksqlDB、Open Distro、AWS OpenSearchの次のSIEM、EDR & XDRプラットフォームで利用可能です。

このルールは最新のMITRE ATT&CK®フレームワークv.10と一致しており、初期アクセスの戦術においてExploit Public-Facing Application（T1190）を主要手法として扱っています。

環境内での他の可能なセキュリティホールを検出するには、SOC PrimeプラットフォームのThreat Detection Marketplaceリポジトリで利用可能なルールの完全なリストを確認してください。 ビューディテクション ボタンをクリックすると、185,000以上のユニークなコンテンツアイテムにアクセスできます。独自のコンテンツを作成しますか？Threat Bountyプログラムを通じて23,000以上の専門家が力を合わせる世界最大のサイバー防御コミュニティと協力し、プロフェッショナルなガイダンスを得て、検出コンテンツを共有することで安定した収入を得ましょう。

ビューディテクション Threat Bountyに参加

CVE-2022-29108分析

2022年5月10日、Microsoftは73の新しいCVEを発表し、そのうち6つはクリティカルと見なされました。いくつかのCVEが再発行され、総欠陥数は 5月のPatch Tuesday リストに77まで増加しました。

他の重要なバグの中でも、SharePoint Server RCE欠陥は即時の注目を要し、パッチ優先順位を主張しています。SharePointは、20年以上にわたって市場に存在し、Microsoft Officeと統合するよう設計されたチームコラボレーションツールであり、世界中で約1億9000万人のユーザーに人気があり、脅威アクターにとって魅力的なターゲットです。

追跡された欠陥 CVE-2022-29108 は、ハッカーがネットワーク内を横展開する能力を提供します。 CVE-2022-29108分析 は、このRCEバグが巨大なエクスプロイトの潜在能力を持っていることを示し、対戦相手が機密データを盗んだり、将来の攻撃のためにマクロで細工された悪意あるファイルを植え付けたりするのを可能にします。

プロアクティブなサイバーセキュリティ戦略は、進歩的な組織がサイバー防御能力を強化するために実装を目指している古くからの解決策です。セキュリティの武器庫を SOC Primeの検出コンテンツ で最新の脅威、CVE、およびエクスプロイトに対して強化し、SIEM、EDR、およびXDRソリューションとのシームレスな統合を保証します。