Detecção do CVE-2024-21378: Vulnerabilidade no Microsoft Outlook Leva à Execução Remota de Código Autenticada
Índice:
Logo após as severas vulnerabilidades do JetBrains TeamCity (CVE-2024-27198, CVE-2024-2719), especialistas em segurança revelam uma nova RCE que afeta o Microsoft Outlook. Adversários autenticados podem explorar o problema de segurança para executar código malicioso na instância impactada, obtendo controle extensivo sobre ela. Embora a vulnerabilidade tenha sido corrigida pela Microsoft em fevereiro de 2024, o fornecedor a classifica como “Mais Provável de Exploração”, especialmente em vista do lançamento recente de uma prova de conceito (PoC).
Detectar Tentativas de Exploração do CVE-2024-21378
À luz do CVE-2024-21378 potencialmente armado para campanhas em campo, é vital que os defensores cibernéticos se defendam proativamente e detectem atividades suspeitas o mais cedo possível nos estágios de desenvolvimento do ataque. A plataforma SOC Prime agrega um conjunto de regras Sigma curadas para identificar atividades maliciosas ligadas à exploração da vulnerabilidade do Microsoft Outlook.
As regras da Equipe SOC Prime detectam operações relacionadas a um formulário do Outlook e a uma alteração de arquivo em um caminho específico relacionado a isso, que pode ser usado para colocar arquivos DLL maliciosos. Todas as detecções são compatíveis com 28 tecnologias de SIEM, EDR, XDR e Data Lake e são mapeadas para o framework MITRE ATT&CK v14.1 abordando a tática de Evasão de Defesa, com Fluxo de Execução por Desvio (T1574) como a técnica principal.
Profissionais de segurança que buscam maneiras de impulsionar sua resiliência cibernética contra ameaças emergentes de qualquer escala, incluindo CVEs em destaque, podem explorar toda a coleção de algoritmos de detecção que tratam da exploração de vulnerabilidades. Basta clicar no Explorar Detecções botão abaixo e aprofundar-se na lista de regras enriquecidas com metadados extensivos e inteligência personalizada.
Análise do CVE-2024-21378: Execução Remota de Código no Microsoft Outlook
Em 2023, pesquisadores da NetSpi descobriram uma vulnerabilidade de execução remota de código autenticada que impacta o Microsoft Outlook. A falha catalogada como CVE-2024-21378 permite que hackers executem código malicioso no sistema afetado. No entanto, para explorar o problema, os atores de ameaça precisam de autenticação com acesso à LAN e um token de acesso válido para um usuário do Exchange. Além disso, um usuário alvo é enganado para interagir com um arquivo elaborado para desencadear etapas subsequentes do ataque.
Notavelmente, a exploração depende do vetor de ataque descrito por Etienne Stalmans da SensePost em 2017. Este método alavanca o código VBScript dentro de objetos de formulário do Outlook para alcançar a RCE com acesso à caixa de correio. Embora a Microsoft tenha abordado o problema com correções relevantes, a função de sincronização vulnerável dos objetos de formulário nunca foi alterada, o que resultou na lacuna de segurança do Outlook no centro das atenções.
A falha foi relatada à Microsoft em 2023, e o fornecedor corrigiu em todas as versões suportadas do Outlook em 13 de fevereiro de 2024. Em 11 de março, os pesquisadores da NetSpi compartilharam uma visão geral da falha, incluindo detalhes sobre o código PoC relacionado.
Com os detalhes do CVE-2024-21378 acessíveis publicamente na web, o risco de exploração potencial está crescendo, o que impulsiona uma ultra-responsividade dos defensores. Aproveitando o Attack Detective da SOC Prime, engenheiros de segurança podem elevar a postura de segurança cibernética da organização identificando pontualmente lacunas cegas na defesa cibernética, identificando dados apropriados para coletar para abordar essas lacunas e otimizar o ROI do SIEM, e priorizando procedimentos de detecção antes que os adversários tenham a chance de atacar.
