Detecção CVE-2024-21111: Uma Nova Vulnerabilidade Crítica de Escalação de Privilégio Local no Oracle VirtualBox com o Exploit PoC Liberado

Uma nova vulnerabilidade designada CVE-2024-21111 foi recentemente descoberta no Oracle VirtualBox, um software de virtualização de código aberto amplamente utilizado. A vulnerabilidade crítica descoberta no Oracle VirtualBox permite que adversários escalem privilégios para NT AUTHORITYSYSTEM via Symbolic Link, com sua exploração podendo levar à exclusão de arquivos arbitrários ou movimentação arbitrária de arquivos.

Detectar Tentativas de Exploração do CVE-2024-21111

Com o aumento exponencial e a crescente sofisticação dos ataques, nos quais adversários armam vulnerabilidades em produtos populares de código aberto, Detecção Proativa de Exploração de Vulnerabilidade continua entre os principais casos de uso de cibersegurança. A Plataforma SOC Prime para defesa cibernética coletiva lançou recentemente uma nova regra Sigma para detectar tentativas de exploração potencial de uma nova vulnerabilidade crítica no Oracle VM VirtualBox abusada por atacantes para elevar privilégios no host comprometido. Faça login na Plataforma para acessar o algoritmo de detecção relevante enriquecido com CTI relevante, metadados detalhados e compatível com soluções líderes do setor de SIEM, EDR e Data Lake. 

Possível Tentativa de Exploração do CVE-2024-21111 (Oractle Virtualbox LPE) (via file_event)

A detecção está alinhada com o framework MITRE ATT&CK®, abordando a tática de Escalação de Privilégio e a técnica de Exploração para Escalação de Privilégio (T1068). 

Para se manter continuamente à frente das ameaças emergentes e remediar em tempo hábil os riscos de intrusões, explore toda a coleção de conteúdo SOC relevante e de alta qualidade disponível através do Explorar Detecções botão abaixo.

Explorar Detecções

Análise do CVE-2024-21111

Uma nova vulnerabilidade, rastreada como CVE-2024-21111, emergiu no cenário de ameaças cibernéticas. O bug de segurança, que tem uma pontuação CVSS de criticidade alta de 7.8, afeta versões do Oracle VM VirtualBox anteriores à 7.0.16. 

O CVE-2024-21111 representa uma ameaça significativa, pois pode ser armado por atacantes com poucos privilégios e acesso de login para comprometer o Oracle VM VirtualBox. A falha pode ser explorada por adversários tanto para excluir arquivos no diretório quanto para realizar uma movimentação arbitrária de arquivos, potencialmente resultando em uma tomada de controle do sistema. No entanto, a falha representa um risco considerável apenas para hosts Windows. O CVE-2024-21111 foi descoberto pelo pesquisador de segurança Naor Hodorov, que também criou um código de exploit PoC para esta vulnerabilidade.

Em resposta à ameaça crescente, o fornecedor prontamente forneceu correção de vulnerabilidade e emitiu um aviso de segurança dedicado para ajudar as organizações a minimizar instantaneamente os riscos. Como medidas potenciais de mitigação para o CVE, a Oracle recomenda atualizar para a versão mais recente do software devido à gravidade do ataque potencial. Além disso, os defensores podem remediar riscos bloqueando protocolos de rede que estejam potencialmente expostos à exploração e restringindo privilégios para usuários que não os exijam.

Prever os ataques antes que eles ocorram e elevar a postura de segurança cibernética da sua organização com completa suíte de produtos da SOC Prime para Engenharia de Detecção com Inteligência Artificial, Caça e Validação de Pilha de Detecção Automatizadas.