CVE-2022-21907を検出: Windows Serverにおけるワーム化可能なRCE

また新たな日が訪れ、セキュリティの専門家にとって大きな頭痛の種となる重大な脆弱性が現れました。今回は、研究者たちが、最新のデスクトップおよびサーバー用Windowsバージョンに影響を与えるワーム可能なリモートコード実行（RCE）の欠陥を特定しました。ベンダーは、脅威者が影響を受けたインスタンスで任意のコードを実行できるように、この欠陥を容易に悪用できるため、すべての人にシステムをできるだけ早くアップグレードするよう促しています。

CVE-2022-21907 エクスプロイト

このバグはHTTPプロトコルスタックに存在し、Windowsのインターネット情報サービスウェブサーバーがウェブページをホストするために適用する重要なコンポーネントです。HTTPトレーラーサポート機能を悪用することで、認証されていないハッカーが特別に細工されたパケットをサーバーに送信でき、HTTPプロトコルスタック（http.sys）を利用してパケットを処理し、システムに代わって悪意のあるコードを実行させることができます。特に、侵入を進めるためにはユーザーの操作が必要ありません。

そのCVSSスコアが9.8であり、セキュリティホールがワーム可能で、攻撃ルーチンが低複雑性であることから、マイクロソフトは速やかに脆弱性を修正するよう促しています。ベンダーの アドバイザリによると、Windows Serverバージョン2019、20H2、および2022とデスクトップバージョン10と11が影響を受けています。

これまでのところ野生でのエクスプロイトは観察されていませんが、CVE-2022-21907のエクスプロイトが武器化されるのは時間の問題です。この脆弱性のために公共のPoCエクスプロイトがすでにリリースされています。しかし、セキュリティ研究者たちは、利用可能なPoCが野生攻撃に完全に適用可能かどうか議論しています。

CVE-2022-21907 検出

この脆弱性は、マイクロソフトの 最新のPatch Tuesdayリリース 2022年1月11日に修正されました。さらに、Windows Server 2019とWindows 10バージョン1809では、脆弱なコードはデフォルトで読み込まれず、特定のレジストリキーが設定された場合にのみ読み込まれるため、緩和策があります。ユーザーはHTTPトレーラーサポート機能を無効にするだけで安全を保つことができます。

Windows Serverにおけるこのワーム可能なRCEに対する防御を強化し、自分のインフラストラクチャに対する可能な攻撃を検出するには、SOC PrimeのDetection as Codeプラットフォームで利用可能な無料のSigmaルールを入手できます。

以下のルールは、CVE-2022-21907のために公共でリリースされたPoCエクスプロイトに関連する悪意のある活動を検出することを可能にします。公開されたPoCが有効かどうかを議論している現在の状況を鑑み、SOC Primeチームは既存のルールに関連するアップデートを実装し、信頼できるソースからの公式声明があれば新しいルールを作成する準備ができています。

Microsoft HTTP Protocol Stackの脆弱性の可能性 [CVE-2022-21907] エクスプロイト (via web)

この検出は、次のSIEM、EDR、およびXDRプラットフォーム向けに翻訳されています: Azure Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、LogPoint、Graylog、Regex Grep、RSA NetWitness、Apache Kafka ksqlDB、Securonix、およびAWS OpenSearch。

このルールは、最新のMITRE ATT&CK®フレームワークv.10に準拠しており、初期アクセスの戦術をアドレスしており、公開正在アプリケーションのエクスプロイトを主な技術（T1190）として扱っています。

HTTPトレーラーサポート有効化またはステータスチェックの可能性 [CVE-2022-21907] (via cmdline)

この検出は、次のSIEM、EDR、およびXDRプラットフォーム向けに翻訳されています: Microsoft Sentinel、Elastic Stack、Splunk、Humio、Sumo Logic、ArcSight、QRadar、FireEye、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Chronicle Security、LimaCharlie、SentinelOne、Microsoft Defender ATP、CrowdStrike、Apache Kafka ksqlDB、Carbon Black、Securonix、およびOpen Distro。

このルールは、最新のMITRE ATT&CK®フレームワークv.10に準拠しており、実行と発見の戦術をアドレスしており、コマンドおよびスクリプトインタープリタ（T1059）およびレジストリクエリ（T1012）を主な技術として扱っています。

SOC PrimeのDetection as Codeプラットフォームに無料で参加して、SIEMまたはXDR環境で最新の脅威を検索し、MITRE ATT&CKマトリックスに沿った最も関連性のあるコンテンツに到達することで脅威カバレッジを向上させ、全体的には組織のサイバー防御能力を強化しましょう。セキュリティエキスパートは、自分の検出コンテンツを収益化するために我々のThreat Bounty Programに参加することも歓迎します。

プラットフォームへ行く Threat Bountyに参加