Descripción de la Tecnica
CS Query: Exploitable Critical Vulnerabilities es una técnica relacionada con el MITRE ATT&CK, específicamente en el grupo attack-pattern. Esta consulta se enfoca en identificar vulnerabilidades críticas que pueden ser explotadas por actores maliciosos. La query está basada en la CrowdStrike Falcon Discovery Query, y su propósito es detectar instancias de vulnerabilidades con un nivel de gravedad "Critical" y un estado de explotabilidad superior a 30.
Como Funciona
La técnica opera mediante la identificación de vulnerabilidades críticas en sistemas o aplicaciones, donde el estado de explotabilidad es alto. La consulta analiza datos de vulnerabilidades (CVE) para filtrar aquellos con severidad crítica y un valor de explotabilidad que indica un riesgo significativo. Esto permite a los detectores de ciberseguridad identificar oportunidades de ataque potenciales.
Actores que la Utilizan
Esta técnica es utilizada por actores maliciosos que buscan aprovechar vulnerabilidades críticas en sistemas vulnerables. No se especifican actores particulares debido a la naturaleza general de la consulta, pero su aplicación está relacionada con amenazas que priorizan la explotación de fallos graves.
Detección
La detección se basa en monitorear vulnerabilidades críticas y su estado de explotabilidad. Los sistemas de seguridad deben estar configurados para alertar sobre instancias donde el CVE tenga un nivel de gravedad "Critical" y un valor de explotabilidad que exceda los 30 puntos. Esto permite identificar posibles ataques en tiempo real.
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso publicos disponibles.
Mitigación
La mitigación incluye la actualización inmediata de sistemas y aplicaciones para cerrar vulnerabilidades críticas. Es fundamental implementar controles de seguridad que limiten el acceso a sistemas con vulnerabilidades expuestas, así como realizar auditorías periódicas para identificar y remediar riesgos potenciales.
Query CrowdStrike Falcon
Consulta copiable para CrowdStrike Falcon LogScale/Event Search. Ajusta campos segun tu tenant y version de sensor.
#event_simpleName=/ProcessRollup2|CommandHistory|ScriptControlScanInfo|NetworkConnectIP4/
| CommandLine=/(powershell|cmd\.exe|mshta|wscript|cscript|rundll32|regsvr32|certutil|bitsadmin|curl|wget|net\s+use|\\webdav)/i
| table([@timestamp, ComputerName, UserName, ParentBaseFileName, ImageFileName, CommandLine, SHA256HashData, RemoteAddressIP4])
| sort(@timestamp, order=desc)
FQL pivots
event_simpleName:ProcessRollup2 CommandLine:powershell
event_simpleName:CommandHistory CommandLine:certutil
event_simpleName:NetworkConnectIP4 RemoteAddressIP4:*