CVE-2023-28252およびCVE-2023-21554の悪用試行を検出：ランサムウェア攻撃で積極的に使用されるWindowsゼロデイと重大なRCE脆弱性

広く使用されているソフトウェア製品に影響を与えるゼロデイの欠陥が増加する中、 脆弱性の悪用を事前に検出することは、 2021年以来、最も一般的なセキュリティユースケースの一つとなっています。 

Microsoftは、野生で積極的に悪用され、CVE-2023-28252として追跡されているゼロデイのパッチを含めて、その製品に影響を与える重大な欠陥に関連する一連のセキュリティ更新を最近発行しました。後者はWindows Common Log File System (CLFS) ドライバーにおける権限昇格の脆弱性であり、CVSSスコアは7.8に達しています。

サイバー防衛者の注意を引くもう一つのセキュリティバグは、CVE-2023-21554として追跡され、CVSSスコア9.8を持つMicrosoft Message Queuing (MSMQ) サービスのRCE脆弱性です。

アクティブな脆弱性の悪用を考慮し、2023年4月11日に CISAが警告を発し、 業界の仲間にCVE-2023-28252 Windowsゼロデイを既知の悪用された脆弱性のカタログに追加することを通知し、サイバーセキュリティへの意識を高めました。 

CVE-2023-28252 & CVE-2023-21554 検出

Microsoftが2か月連続でその主要製品のゼロデイ脆弱性に対処したことを受けて、セキュリティ専門家は組織のインフラストラクチャを積極的に特定および保護するための信頼できる検出コンテンツのソースを必要とします。

SOC PrimeのDetection as Code Platformsは、CVE-2023-28252とCVE-2023-21554の悪用検出を目的とした選定されたSigmaルールを提供しています。以下のリンクをたどることで、CTIリンク、MITRE ATT&CK® 参照、およびその他の関連メタデータが付属した検出をドリルダウンできます。

CVE-2023-28252の悪用パターンを検出するためのSigmaルール

このルールは21のSIEM、EDR、XDRプラットフォームと互換性があり、 MITRE ATT&CKフレームワーク v12に準拠し、悪用によるパブリックフェイシングアプリケーション(T1190)を使用した初期アクセスを対応する技術として扱います。 

CVE-2023-21554の悪用試行を検出するためのSigmaルール

これらのルールは20以上のSIEM、EDR、 XDR言語フォーマットをサポートし、パブリックフェイシングアプリケーション(T1190)の悪用およびリモートサービスの悪用(T1210)を対応する技術として、初期アクセスと横方向移動の戦術を扱います。 

をクリックすることによって、 探す検出 ボタンを押すことで、トレンドの脆弱性の悪用に関連する悪意のある行為を特定するのに役立つさらに多くの検出アルゴリズムに瞬時にアクセスできます。

探す検出

CVE-2023-21554とCVE-2023-28252の分析 

CISA 最近、新しい警告を発し、 知られているWindows Common Log File System CVE-2023-28252脆弱性の悪用に関連するリスクの増大をサイバー防衛者に知らせました。この活動的に悪用されているゼロデイは、脅威アクターが権限を昇格し、Nokoyawaランサムウェアのペイロードを展開するために利用され、最近Microsoftによって修正されました。CVE-2023-28252には7.8のCVSSv3スコアが割り当てられています。

最近発見され、修正されたもう一つの脆弱性は、 Microsoftの2023年4月のセキュリティ更新で追跡され、 Check Pointのサイバーセキュリティ研究者によってQueueJumperと名付けられています。このセキュリティの欠陥は、MSMQサービスの重要なRCE脆弱性であり、許可されていないユーザーがWindowsサービスプロセスで任意のコードをリモートで実行できるようにします。 mqsvc.exe。敵対者は、TCPポート1801を悪用することでプロセスの制御を得ることができます。

潜在的な軽減策として、サイバー防衛者は CVE-2023-28252 and CVE-2023-21554のMicrosoft公式パッチを迅速にインストールすることを推奨します。さらに、影響を受ける可能性のあるMicrosoft製品を活用している顧客は、WindowsサーバーおよびクライアントのMSMQサービスの可用性を確認し、不要な攻撃面を減少させるためにそれを無効にすることを検討するべきです。 

SOC Primeを頼りに、あらゆる悪用可能なCVEおよびサイバー攻撃で使用される任意のTTPに対応する完全な検出コンテンツが整っている状態を確保してください。新興と確立された脆弱性に対する800以上のルールへのアクセスを得て、悪意のある行動を即時に特定し、脅威を適時に修正します。 140以上のSigmaルールを無料で入手 または、セキュリティニーズに合わせたオンデマンドサブスクリプションを選んで、関連する検出アルゴリズムの完全なリストにアクセスできます。 https://my.socprime.com/pricing/.