CVE-2022-29108 탐지: Microsoft SharePoint Server에서 새로 발견된 결함

2022년 5월 마이크로소프트 패치 화요일은 마이크로소프트 제품의 74개 결함을 드러냈으며, 이 중에는 CVE-2022–26923과 같은 치명적인 취약점과 이를 완화하기 위한 필수 수정 사항이 포함되어 있습니다. CVE-2022–26923, 이를 완화하기 위한 필수 수정 사항과 함께 제공되었습니다.

새로운 SharePoint Server 원격 코드 실행(RCE) 취약점은 올해 2월 발견된 CVE-2022-22005로 태그된 또 다른 마이크로소프트 SharePoint RCE와 유사하며, 해커가 손상된 기기에서 임의의 명령을 실행할 수 있도록 합니다.

CVE-2022-29108 탐지

CVE-2022-29108과 관련된 어떤 침입 패턴도 추적하려면 우리의 숙련된 위협 헌터 Aykut Gürses가 배포한 Sigma 규칙을 활용하세요 Aykut Gürses:

마이크로소프트 SharePoint Server 원격 코드 실행 취약점의 악의적인 초기 접근(CVE-2022-29108) (프록시 경유)

이 탐지는 Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Apache Kafka ksqlDB, Open Distro 및 AWS OpenSearch를 포함한 다음 SIEM, EDR 및 XDR 플랫폼에서 사용할 수 있습니다.

이 규칙은 최신 MITRE ATT&CK® 프레임워크 v.10과 일치하며, 초기 접근 전술에서 공개된 응용 프로그램(T1190)을 주 기법으로 다룹니다.

환경 내의 다른 가능한 보안 구멍을 감지하기 위해, SOC Prime 플랫폼의 Threat Detection Marketplace 저장소에서 사용할 수 있는 규칙의 전체 목록을 참조하세요: 탐지 보기 버튼을 통해 185,000개 이상의 고유 콘텐츠 항목에 액세스할 수 있습니다. 자체 콘텐츠를 제작 중이신가요? 23,000명 이상의 전문가로 구성된 세계 최대 사이버 방어 커뮤니티와 협력하여 전문적인 지침을 받고 탐지 콘텐츠를 공유함으로써 안정적인 수입을 벌 수 있는 Threat Bounty Program에 참여하세요.

탐지 보기 Threat Bounty 참가

CVE-2022-29108 분석

2022년 5월 10일, 마이크로소프트는 73개의 새로운 CVE를 발표했으며, 그중 6개는 치명적이라고 평가되었습니다. 여러 CVE가 재발급되면서 5월 패치 화요일 목록의 총 결함 수는 77개로 증가했습니다.

공개된 다른 치명적 버그 중에서 SharePoint Server RCE 결함은 패치 우선순위를 주장하며 즉각적인 주목을 요구합니다. SharePoint는 팀 협업을 위한 도구로서 마이크로소프트 오피스와 통합되도록 설계되어 온 20년 이상의 역사를 가진 플랫폼입니다. 전 세계적으로 약 1억 9천만 명의 사용자가 사용하고 있어 위협 행위자들에게는 매력적인 목표가 됩니다.

CVE-2022-29108으로 추적된 결함은 CVE-2022-29108 해커가 네트워크 내에서 횡으로 이동할 수 있는 기능을 제공합니다. CVE-2022-29108 분석 에 따르면 이 RCE 버그는 엄청난 악용 가능성을 지니며, 공격자들이 민감한 데이터를 훔치거나 미래의 공격을 위한 매크로가 포함된 악성 파일을 심는 것을 가능하게 합니다.

선제적인 사이버 보안 전략은 진보적인 조직들이 자신들의 사이버 방어 역량을 강화하기 위해 구현하려고 노력하는 입증된 해결책입니다. 최신 위협, CVE 및 익스플로잇을 대상으로 하는 SOC Prime의 탐지 콘텐츠를 사용하여 보안 무기를 강화하고 SIEM, EDR 및 XDR 솔루션과 원활하게 통합할 수 있습니다. SOC Prime’s detection content for the most recent threats, CVEs, and exploits, ensuring seamless integration with your SIEM, EDR, and XDR solution.