Detectar Tentativas de Exploração de CVE-2023-28252 & CVE-2023-21554: Zero-Day do Windows Ativamente Usado em Ataques de Ransomware e uma Falha Crítica de RCE
Índice:
Com um número crescente de falhas zero-day afetando amplamente produtos de software, a detecção proativa da exploração de vulnerabilidades tem sido um dos casos de uso de segurança mais prevalentes desde 2021.
A Microsoft emitiu recentemente uma série de atualizações de segurança relevantes para falhas críticas que afetam seus produtos, incluindo um patch para um zero-day explorado ativamente no ambiente e rastreado como a vulnerabilidade CVE-2023-28252. Esta é uma vulnerabilidade de escalonamento de privilégios no Driver do Windows Common Log File System (CLFS), com uma pontuação CVSS atingindo 7.8.
Outro bug de segurança que chama a atenção dos defensores cibernéticos é uma vulnerabilidade RCE no serviço Microsoft Message Queuing (MSMQ) rastreada como CVE-2023-21554 e possuindo uma pontuação CVSS de 9.8.
Em vista da exploração ativa de vulnerabilidades, em 11 de abril de 2023, a CISA emitiu um alerta notificando os pares da indústria sobre a adição do Windows zero-day CVE-2023-28252 ao seu catálogo de Vulnerabilidades Conhecidas Exploradas para aumentar a conscientização sobre segurança cibernética.
Detecção de CVE-2023-28252 & CVE-2023-21554
Em vista de a Microsoft abordar vulnerabilidades zero-day em seus principais produtos pelo segundo mês consecutivo, os profissionais de segurança precisam de uma fonte confiável de conteúdo de detecção para identificar e proteger proativamente sua infraestrutura organizacional.
As Plataformas Detection as Code da SOC Prime oferecem um lote de regras Sigma curadas destinadas à detecção de exploração dos CVEs 2023-28252 e 2023-21554. Aprofunde-se nas detecções acompanhadas de links CTI, MITRE ATT&CK® referências e outros metadados relevantes, seguindo os links abaixo.
Regra Sigma para Detectar Padrões de Exploração de CVE-2023-28252
A regra é compatível com 21 plataformas SIEM, EDR e XDR e está alinhada com o framework MITRE ATT&CK v12, abordando o Acesso Inicial com Aplicativo Exposto à Exploração (T1190) como a técnica correspondente.
Regras Sigma para Detectar Tentativas de Exploração de CVE-2023-21554
As regras suportam mais de 20 formatos de linguagem SIEM, EDR e XDR e abordam as táticas de Acesso Inicial e Movimento Lateral, com Exploração de Aplicativo Exposto ao Público (T1190) e Exploração de Serviços Remotos (T1210) como técnicas correspondentes.
Ao clicar no botão Explorar Detecções , as organizações podem obter acesso instantâneo a ainda mais algoritmos de detecção destinados a ajudar a identificar o comportamento malicioso vinculado à exploração de vulnerabilidades em tendência.
Análise de CVE-2023-21554 e CVE-2023-28252
CISA emitiu recentemente um novo alerta informando os defensores cibernéticos sobre os riscos crescentes relacionados à exploração de uma vulnerabilidade conhecida do Windows Common Log File System CVE-2023-28252 utilizada em ataques de ransomware e representando uma ameaça potencial para empresas federais. Este zero-day explorado ativamente, usado por atores de ameaça para escalar privilégios e espalhar cargas de ransomware Nokoyawa, foi recentemente corrigido pela Microsoft. O CVE-2023-28252 foi atribuído a uma pontuação CVSSv3 de 7.8.
Outra vulnerabilidade recentemente descoberta e corrigida em as Atualizações de Segurança de abril de 2023 da Microsoft, rastreada como CVE-2023-21554 com uma pontuação CVSS de 9.8, foi chamada de QueueJumper por pesquisadores de cibersegurança da Check Point. Esta falha de segurança é uma vulnerabilidade RCE crítica no serviço MSMQ, que permite a usuários não autorizados executar remotamente código arbitrário no processo do serviço Windows mqsvc.exe. Os adversários podem obter controle do processo abusando da porta TCP 1801 através da exploração da vulnerabilidade.
Como medidas potenciais de mitigação, os defensores cibernéticos recomendam instalar prontamente os patches oficiais da Microsoft para CVE-2023-28252 and CVE-2023-21554. Além disso, os clientes que utilizam os produtos Microsoft potencialmente impactados devem verificar a disponibilidade do serviço MSMQ para servidores e clientes Windows e potencialmente desativá-lo para reduzir superfícies de ataque desnecessárias.
Confie na SOC Prime para estar totalmente equipado com conteúdo de detecção para qualquer CVE explorável e qualquer TTP usado em ataques cibernéticos. Obtenha acesso a mais de 800 regras para vulnerabilidades emergentes e estabelecidas para identificar instantaneamente comportamentos maliciosos e remediar as ameaças em tempo hábil. Obtenha 140+ regras Sigma gratuitamente ou alcance a lista completa de algoritmos de detecção relevantes escolhendo a assinatura On Demand adaptada às suas necessidades de segurança em https://my.socprime.com/pricing/.
