Detecção CVE-2022-30190: Atualizações sobre Vulnerabilidade RCE no Microsoft Windows
Índice:
Vamos começar com um breve resumo dos desenvolvimentos sobre a vulnerabilidade zero-day do Windows (CVE-2022-30190), também conhecida como Follina.
Em abril de 2022, uma equipe de pesquisa conhecida pelo apelido CrazymanArmy avisou a Microsoft sobre uma nova vulnerabilidade RCE zero-day em um de seus produtos. A corporação de tecnologia optou por não resolver o problema naquele momento. Em 27 de maio de 2022, essa vulnerabilidade RCE no Windows foi divulgada publicamente, conhecida por afetar o Microsoft Support Diagnostic Tool (MSDT), começando a causar impacto na comunidade de cibersegurança. Em 31 de maio de 2022, essa vulnerabilidade do Windows foi finalmente reconhecida e rastreada como CVE-2022-30190, ainda assim, não é oficialmente referida como zero-day pela Microsoft.
Detectar CVE-2022-30190
Acompanhe as atualizações de conteúdo de detecção relacionadas ao CVE-2022-30190 (também conhecido como Follina) no repositório Threat Detection Marketplace da SOC Prime Platform. Aproveitando o poder da defesa cibernética colaborativa, a equipe da SOC Prime lançou recentemente um lote de regras Sigma dedicadas à detecção de CVE-2022-30190:
Regras Sigma para detectar tentativas de exploração da vulnerabilidade CVE-2022-30190
Clique no botão Ver Detecções para acessar uma lista exaustiva de conteúdo de detecção relevante associado à vulnerabilidade zero-day Follina e etiquetado adequadamente. Caçadores de ameaças iniciantes e experientes podem desafiar seus conhecimentos e habilidades na área de detecção de ameaças juntando-se ao Threat Bounty Program.
Ver Detecções Participar do Threat Bounty
Descrição CVE-2022-30190
Em 30 de maio de 2022, a Microsoft lançou um aviso sobre CVE-2022-30190, juntamente com o guia do seu Security Response Center, oferecendo soluções temporárias até que as correções sejam lançadas.
O apelido dessa vulnerabilidade RCE que afeta o MSDT, surge do nome do amostra inicial de Word armado enviado ao VirusTotal, que incluía uma combinação de números 0438 . Um pesquisador de segurança Kevin Beaumont atribuiu o nome Follina ao reconhecer o número, já que ele também representa o código de área para a comuna de Follina, na Itália.
No momento, não há patches para corrigir o bug, então os adversários podem explorar até mesmo as versões mais recentes do Office. O produto afetado da Microsoft, MSDT, é, infelizmente, um grande e atraente playground para atores de ameaças, por isso é altamente recomendado manter o dedo no pulso dos desenvolvimentos do CVE-2022-30190 e escanear seu ambiente em busca de possíveis tentativas de exploração.
Para mais detalhes sobre esta vulnerabilidade, por favor, consulte a análise CVE-2022-30190 lançada no blog da SOC Prime em 30 de maio de 2022.
Teste as capacidades de transmissão de conteúdo e ajude sua organização a aprimorar as operações diárias do SOC com conteúdo de detecção desenvolvido por líderes em segurança. Mantenha o dedo no pulso do ambiente acelerado de riscos cibernéticos e obtenha as melhores soluções de detecção com SOC Prime.
