Detectar CVE-2022-21907: Um RCE Wormável no Windows Server

[post-views]
Janeiro 19, 2022 · 4 min de leitura
Detectar CVE-2022-21907: Um RCE Wormável no Windows Server

Mais um dia, mais uma vulnerabilidade crítica representando uma grande dor de cabeça para os profissionais de segurança. Desta vez, os pesquisadores identificaram uma falha de execução remota de código (RCE) que afeta as versões mais recentes do Windows, tanto para desktop quanto para servidor. O fornecedor insta todos a atualizarem seus sistemas o mais rápido possível, pois a falha pode ser facilmente explorada por adversários para executar código arbitrário nos instantes afetados.

CVE-2022-21907 Exploit

O bug reside no HTTP Protocol Stack, um componente crucial aplicado pelo servidor Web do Windows Internet Information Services para hospedar páginas da web. Ao abusar do recurso de Suporte a Trailer HTTP, hackers não autorizados podem enviar pacotes especialmente elaborados ao servidor aproveitando-se do HTTP Protocol Stack (http.sys) para processar pacotes e enganar o sistema, fazendo com que ele execute o código malicioso em seu nome. Notavelmente, nenhuma interação do usuário é necessária para o avanço da intrusão.

Dado o seu score CVSS de 9.8, a natureza wormable do buraco de segurança e a baixa complexidade da rotina de ataque, a Microsoft insta a corrigir a vulnerabilidade sem demora. Conforme relatado pelo aviso, as versões Windows Server 2019, 20H2 e 2022, além das versões desktop 10 e 11, foram encontradas afetadas.

Embora nenhuma exploração selvagem tenha sido observada até o momento, é apenas uma questão de tempo até que adversários militarizem explorações para o CVE-2022-21907. As explorações dos PoC públicas já foram liberadas para essa vulnerabilidade. No entanto, os pesquisadores de segurança estão debatendo se os PoCs disponíveis são totalmente aplicáveis para os ataques em campo.

CVE-2022-21907 Detecção

A vulnerabilidade foi corrigida pela Microsoft com seu último lançamento do Patch Tuesday em 11 de janeiro de 2022. Além disso, para Windows Server 2019 e Windows 10 versão 1809, mitigações estão disponíveis, já que o código vulnerável não é carregado por padrão, mas apenas quando uma certa chave de registro foi configurada. Os usuários só precisam desabilitar o recurso de Suporte a Trailer HTTP para se manterem seguros.

Para aumentar suas defesas contra este wormable RCE no Windows Server e detectar possíveis ataques à sua infraestrutura, você pode obter a regra Sigma gratuita disponível na plataforma Detection as Code da SOC Prime.

As regras abaixo permitem detectar a atividade maliciosa associada às explorações de PoC públicas liberadas para o CVE-2022-21907. Em vista de uma discussão atual sobre a validade dos PoCs liberados, a Equipe da SOC Prime está pronta para implementar atualizações relevantes para as regras existentes e criar novas conforme quaisquer declarações oficiais de fontes confiáveis.

Possível Exploração de Vulnerabilidade no Microsoft HTTP Protocol Stack [CVE-2022-21907] (via web)

Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Azure Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Securonix e AWS OpenSearch.

A regra está alinhada com a última estrutura MITRE ATT&CK® v.10, abordando a tática de Acesso Inicial com a técnica Explorar Aplicação Pública-Facing como principal técnica (T1190).

Possível Ativação ou Verificação de Status do Suporte a Trailer HTTP [CVE-2022-21907] (via linha de comando)

Esta detecção tem traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Humio, Sumo Logic, ArcSight, QRadar, FireEye, LogPoint, Graylog, Regex Grep, Microsoft PowerShell, RSA NetWitness, Chronicle Security, LimaCharlie, SentinelOne, Microsoft Defender ATP, CrowdStrike, Apache Kafka ksqlDB, Carbon Black, Securonix e Open Distro.

A regra está alinhada com a última estrutura MITRE ATT&CK® v.10, abordando as táticas de Execução e Descoberta com o Interpretador de Comando e Script (T1059) e Consulta ao Registro (T1012) como principais técnicas.

Junte-se gratuitamente à plataforma Detection as Code da SOC Prime para buscar as ameaças mais recentes em seu ambiente SIEM ou XDR, melhorar sua cobertura contra ameaças ao alcançar o conteúdo mais relevante alinhado à matriz MITRE ATT&CK e, em geral, estimular as capacidades de defesa cibernética da organização. Especialistas em segurança são também bem-vindos para se juntarem ao nosso Programa Threat Bounty para monetizar seu próprio conteúdo de detecção.

Ir para a Plataforma Junte-se ao Threat Bounty

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.