Hola amig@s 👏, soy Mila Jiménez y hoy vamos a aprender sobre: ⤵️ uso de FortiAnalyzer para detectar la vulnerabilidad RPC RCE de Microsoft Windows | CVE-2022-26809
| Descripción | Este artículo describe cómo usar un controlador de eventos personalizado en FortiAnalyzer para generar alertas para la respuesta a incidentes relacionados con attacks que intentan aprovechar el Vulnerabilidad de Microsoft Driver RCE: CVE-2022-26809. También se incluye un informe para analizar registros anteriores de ataques ocurridos. |
| Alcance | Este controlador de eventos FortiAnalyzer y repuerto ayudará a detectar intentos de sfinal a especialmente diseñado Llamada RPC a un host RPC en un intento de ejecutar código en el lado del servidor. El controlador de eventos y el informe se generan en función de los registros de FortiGate, FortiClient y fortiproxy. Utilice los últimos paquetes de IPS y Endpoint Vulnerability para la detección en FortiGate, FortiClient y FortiProxy. |
| Solución | Para obtener información sobre este ataque, consulte la siguiente alerta de brote de FortiGuard: Vulnerabilidad RPC RCE de Microsoft Windows ¿Qué se incluye en Fortinet_Windows_RPC_RCE_Vulnerability.zip?
1)Microsoft Windows RPC RCE Vulnerability_event-handler.json . Este controlador de eventos ayuda a identificar ataques detectado por los registros de FortiGate, FortiClient y FortiProxy.
2)Microsoft Windows RPC RCE Vulnerability_report.dat.
Este informe muestra los resultados de Ejecución remota de código ataques desde los registros de FortiGates, FortiClient y FortiProxy.
3)fgt_Microsoft Windows RPC RCE Vulnerability_event-handler.json. El controlador de eventos para FortiGate ADOM está configurado solo para registros de FortiGate.
4)fgt_Microsoft Windows RPC RCE Vulnerability_report.dat. El informe de ADOM de FortiGate solo incluye gráficos de FortiGate.
Todas las capturas de pantalla proporcionadas a continuación con fines ilustrativos se tomaron de FortiAnalyzer 7.0.3.
1) Descargue el archivo Fortinet_Windows_RPC_RCE_Vulnerability.zip (contiene 4 archivos).
2) Descomprima Fortinet_Windows_RPC_RCE_Vulnerability.zip.
3) Importe el controlador de eventos Vulnerability_event-handler.json de Microsoft Windows RPC RCE o fgt_Microsoft Windows RPC RCE Vulnerability_event-handler.json: – Elija un ADOM (si los ADOM están habilitados). El ADOM puede ser de tipoTelaoFortiGate: – Elija el módulo FortiSOC. – Seleccione Lista de controladores de eventos. – Seleccione la opción Importar en Más. – Seleccione el controlador de eventos apropiado según el tipo ADOM.
Resultado: El controlador de eventos está habilitado y se activará si se reciben los registros adecuados después de la importación del controlador de eventos. Edite el controlador de eventos para personalizar la sección de notificación.
4) Importe Microsoft Windows RPC RCE Vulnerability_report.dat o fgt_Microsoft Windows RPC RCE Vulnerability_report.dat a Informes:
– Elija un ADOM (si los ADOM están habilitados). ADOM puede ser del tipoTelaoFortiGate. – Seleccione el archivo apropiado para el tipo de ADOM para agregar el informe a ADOM.
Resultado: El informe Vulnerability_report de RPC RCE de Microsoft Windows se puede ejecutar en cualquier momento según lo determine un usuario administrador. |
🔎 Para terminar, agradecerte que hayas llegado hasta abajo de esta publicación. Esperamos que haya servido para solucionar tus problemas y que recibamos pronto otra visita tuya.
Si no logras llegar a la solución a tu dilema escribe en el buscador o contacta con nosotros en la caja de comentarios.
¡Un placer!
¿Te ha resultado útil??
0 / 0
Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!