Detecção CVE-2024-24576: Hackers Exploraram uma Vulnerabilidade Rust “BatBadBut” de Severidade Máxima para Alvejar Usuários Windows
Índice:
Uma nova vulnerabilidade de gravidade máxima foi descoberta na biblioteca padrão Rust. Esta vulnerabilidade representa uma séria ameaça para os usuários do Windows ao possibilitar potenciais ataques de injeção de comandos. A falha rastreada como CVE-2024-24576 afeta especificamente situações em que arquivos em lote no Windows são executados com argumentos não confiáveis. Com o código PoC já publicamente divulgado, a exploração bem-sucedida da vulnerabilidade identificada aumenta os riscos de ataques em campo.
Detectar Tentativas de Exploração do CVE-2024-24576
A detecção de exploração de vulnerabilidade tem se mantido entre os principais casos de uso de cibersegurança nos últimos anos, visto que o número de falhas emergentes cresce exponencialmente. Para ajudar os profissionais de segurança a identificar possíveis tentativas de exploração a tempo e defender-se proativamente, a plataforma SOC Prime agrega mais de 300 mil algoritmos de detecção curados acompanhados por soluções avançadas para caça de ameaças e engenharia de detecção. Nosso feed global de regras para as últimas TTPs dos atacantes fornece detecções para as ameaças mais recentes com SLA de 24 horas, garantindo que especialistas em segurança estejam munidos para resistir às intrusões a tempo.
Para ajudar os defensores cibernéticos a identificar a atividade maliciosa associada à exploração do CVE-2024-24576, o Threat Detection Marketplace oferece uma regra Sigma curada por nosso dedicado desenvolvedor Threat Bounty Emir Erdogan:
Ataques de Injeção de Comando Altamente Prováveis Usando a Vulnerabilidade do Rust (CVE-2024-24576)
A regra acima ajuda a detectar ataques de injeção de comando no Windows via a linguagem de programação Rust por meio de logs de criação de processo. A detecção é compatível com mais de 28 formatos de SIEM, EDR e Data Lake e mapeada para o framework MITRE ATT&CK® v14.1. Além disso, a regra Sigma é enriquecida com vastas inteligncias de ameaças e metadados para agilizar a investigação de ameaças.
Ansioso para desenvolver suas habilidades de engenharia de detecção e contribuir para a defesa cibernética coletiva enquanto ganha dinheiro por sua contribuição? Torne-se membro do Programa Threat Bounty da SOC Prime para treinar suas habilidades de codificação de detecção, avançar em sua carreira de engenharia, e codificar seu CV enquanto enriquece a expertise da indústria e ganha benefícios financeiros por sua contribuição.
Para aumentar a eficiência da caça de ameaças e proteger a infraestrutura organizacional, defensores cibernéticos podem mergulhar em toda o conjunto de detecção voltado para a detecção de exploração de vulnerabilidades. Clique no Explorar Detecções botão abaixo e aprofunde-se nas extensas coleções de regras Sigma enriquecidas com metadados relevantes. Especificamente, as regras são acompanhadas por links CTI, referências ATT&CK, recomendações de triagem, cronogramas de ataques e mais.
Análise do CVE-2024-24576
A biblioteca padrão Rust inclui a API de Comando para executar arquivos em lote do Windows entre suas funções comuns. Um recente aviso do Grupo de Resposta de Segurança do Rust destacou que a função carecia de processamento de entrada robusto, o que abre a porta para uma potencial injeção de código durante a execução. Segundo um aviso, atacantes podem potencialmente manipular os argumentos fornecidos ao processo em execução e executar comandos shell não autorizados contornando o mecanismo de escape. Esta vulnerabilidade do Rust é identificada como CVE-2024-24576 e atinge um nível de gravidade máxima (pontuação CVSS 10.0), particularmente em casos de uso ao invocar arquivos em lote com as extensões .bat e .cmd no Windows via a API de Comando.
CVE-2024-24576, denominada BatBadBut, foi descoberta e relatada pelo pesquisador de segurança RyotaK para o CERT/CC. Notavelmente, a falha impacta várias linguagens de programação, a menos que elas processem corretamente os argumentos enviados para o processo em lote do Windows. Isso ocorre quando uma linguagem de programação envolve a função CreateProcess no Windows e incorpora um mecanismo de escape para os argumentos de comando. A extensão completa do impacto do CVE-2024-24576 depende de como a linguagem de programação ou módulo vulnerável é implementado. Diferentes implementações podem levar a diversos graus de exploração e riscos potenciais de segurança.
O impacto do CVE se estende a todas as versões do Rust anteriores à 1.77.2 em dispositivos Windows, desde que o código ou quaisquer dependências executem arquivos em lote com argumentos não confiáveis. Ainda assim, a falha não afeta outras plataformas ou diferentes utilizações no Windows.
Como medidas de mitigação do CVE-2024-24576, o fornecedor recomenda fortemente atualizar a biblioteca padrão para a versão Rust 1.77.2 que inclui um patch para a falha crítica. Como outra opção para minimizar os riscos de exploração, CERT/CC no aviso relacionado também recomenda implementar escapes adequados e neutralização de dados para prevenir a execução potencial de comandos caso o runtime do aplicativo do usuário não tenha um patch para esta vulnerabilidade.
Com o código PoC disponível publicamente no GitHub, os riscos de exploração desta vulnerabilidade do Rust em campo estão aumentando drasticamente, o que requer ultra-responsividade dos defensores. Cadastre-se na Plataforma SOC Prime para se manter continuamente atualizado sobre CVEs críticos e ameaças emergentes que mais desafiam seu negócio enquanto eleva suas defesas em escala.
