フォローする 
注意を怠らないでください!セキュリティ研究者は、人気のあるパスワードマネージャーKeePassのユーザーに深刻な脅威をもたらす悪名高い脆弱性を発見しました。CVE-2023-24055として追跡されるセキュリティの欠陥がKeePassバージョン2.5xに影響を与える可能性があり、攻撃者がクリアテキストで保存されているパスワードを取得する可能性があります。
CVE-2023-24055 検出
概念実証(PoC)エクスプロイトが利用可能で、KeePassが世界中で最も人気のあるパスワードマネージャーの一つであることを考慮すると、既存のセキュリティの欠陥は攻撃者にとって魅力的なターゲットです。CVE-2023-24055の悪用に関連する悪意のある活動をプロアクティブに検出するために、SOC PrimeのDetect as Codeプラットフォームでは専用の Sigmaルール.
可能性のあるKeePass [CVE-2023-24055] 悪用パターン(cmdline経由)
可能性のあるKeePass [CVE-2023-24055] 悪用パターン(powershell経由)
上記の両ルールは、注目されているKeePassの脆弱性に関連した悪用パターンを検出し、 CVE-2023-24055 PoCエクスプロイトコードに基づいています。このコードは、検出を回避して攻撃を続行し、不意を突くために敵対者によって改変される可能性があります。
検出は22のSIEM、EDR、XDRプラットフォームと互換性があり、 MITRE ATT&CK®フレームワーク v12に準拠し、初期の資格情報アクセスとパスワードストアからの資格情報(T1555)とWebサービスを介したデータの流出(T1567)を対象とする戦術に対応しています。
また、CVE-2023-24055の潜在的な悪用に関連する悪意のある活動を検出するために、SOC Primeチームは下記の検出ルールの適用を強く推奨します。
隠されたPowerShellコマンドラインを介した実行の可能性(cmdline経由)
疑わしいPowershell文字列(powershell経由)
Powershellコマンドラインからの疑わしい.NETクラス/メソッドの呼び出し(process_creation経由)
Powershellからの疑わしい.NETメソッドの呼び出し(powershell経由)
Explore Detectionsボタンを押して、CVE-2023-24055専用のすべてのSigmaルールと、それに付随するCTIリンク、ATT&CK参照、脅威ハンティングのアイデアに即座にアクセスしましょう。
CVE-2023-24055 分析
KeePassは非常に人気のある無料のオープンソースツールであり、これまでで最も強力かつ安全なマネージャーの一つとされています。しかし、最近明らかにされた新しい脆弱性により、KeePassは数百万人のユーザーを危険にさらす可能性があります。
研究で説明されているように、 Alex Hernandez と専用の SourceForgeスレッドで詳細が説明されているように、問題の脆弱性は、XML構成ファイルへの書き込みアクセスを持つ攻撃者が、エクスポートトリガーを追加することで、クリアテキストのパスワードを取得する可能性があります。CVE-2023-24055のPoCエクスプロイト、スキャナー、およびトリガー例のリストは 公に投稿されました Alex HernandezのGitHubで。
特筆すべきは、ベンダーは、攻撃者がそのレベルのアクセスを持っている場合、パスワードデータベースが安全であることを意図していないと述べています。さらに、影響を受けるKeePassバージョンのリストは依然として議論されています。今のところ、KeePassのv2.5xが影響を受けているとされています。ユーザーは、潜在的な危殆化を防ぐため、最新の 2.53 バージョン にアップグレードするよう求められています。
Sigma、MITRE ATT&CK、およびDetect as Codeを備えた脅威検出能力を強化し、脅威ハンティングの速度を加速して、あらゆる敵対者TTPやエクスプロイト可能な脆弱性に対して、常に洗練された検出アルゴリズムを備えましょう。既存のCVEに対して800のルールを取得し、最も重要な脅威からの防御を積極的に行いましょう。即座に 140以上のSigmaルールを無料で 入手するか、関連するすべての検出アルゴリズムをオンデマンドで https://my.socprime.com/pricing/で入手してください。.
